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本 书 是 一 部 关于 操作 系统 安全 的 教材 ,第 2 版 在 原 书 的 基础 上 进行 了 修订 与 补充 ,增加 了 第 11 章 
“可 信 计 算 与 可 信 操 作 系统 "与 第 12 章 “ 新 型 操作 系统 发 展 与 展望 ”。 全 书 共 分 12 章 ,全面 介 绍 操作 系 
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计算 与 可 信 操 作 系统 技术 以 及 面向 网 络 和 云 计 算 的 新 型 操作 系统 发 展 趋势 与 安全 性 分 析 。 

本 书 内 容 丰 富 ,题材 新 颖 ,深入 浅 出 ,特点 鲜明 ,理论 结合 实际 ,包括 操作 系统 安全 研究 的 最 新 成 果 ， 
也 包括 作者 在 此 研究 领域 长 期 潜心 研究 的 科研 成 果 。 

本 书 可 以 作为 计算 机 、 软 件 工程 通信、 信息 安全 等 专业 的 高 年 级 本 科 生 、 硕 士 生 和 博士 生 的 教材 ， 
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出 豚 资 明 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增加 ,但 我 国 
目前 信息 安全 人 才 极 度 匿 乏 , 远 远 不 能 满足 金融 、 商 业 、 公 安 、 军 事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 、 通 信 、 物 理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 ,因此 中 国 计 算 机 学 会 教 
育 专业 委员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 ”等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 ”编审 委员 
会 ,由 我 国信 息 安全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,共同 指导 “高 等 
院 校 信息 安全 专业 系列 教材 ”的 编写 工作 。 编 委 会 本 着 研究 先行 的 指导 原则 ， 
认真 研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量 前 
脆性 的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安 全 专业 的 发 展 不 断 深 
人。 经 过 编 委 会 全 体委 员 及 相关 专家 的 推荐 和 审定 ,确定 了 本 丛书 首 批 教材 的 
作者 ,这 些 作 者 绝 大 多 数 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 诈 、 又 在 教学 第 
一 线 有 丰富 的 教学 经 验 的 学 者 ,专家 。 

本 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 : 

中 体系 完整 .结构 合理 内容 先进 。 

@ 适应 面 广 :能 够 满足 信息 安全 .计算 机 、 通 信 工 程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

@ 立体 配套 : 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 .习题 与 实验 指导 等 。 

@ 版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

为 了 保证 出 版 质量 ,我 们 坚持 宁 缺 姓 滥 的 原则 ,成 熟 一 本 ,出 版 一 本 ,并 
保持 不 断 更 新 ,力求 将 我 国信 息 安全 领域 教育 .科研 的 最 新 成 果 和 成 熟 经 验 
反映 到 教材 中 来 。 在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专 
家 的 推荐 和 审定 , 遗 选 了 一 批 国外 信息 安全 领域 优秀 的 教材 如 入 到 本 系列 教 


Eee 操作 系统 安全 (第 2 版 ) mm 


材 中 ,以 进一步 满足 大 家 对 外 版 书 的 需求 。 热 切 期 望 广 大 教师 和 科研 工作 者 加 入 我 们 的 
队伍 ,同时 也 欢迎 广大 读者 对 本 系列 教材 提出 宝贵 意见 ,以 便 我 们 对 本 系列 教材 的 组 织 、 
编写 与 出 版 工作 不 断 改 进 , 为 我 国信 息 安全 专业 的 教材 建设 与 人 才 培 养 做 出 更 大 的 贡献 。 

“高 等 院 校 信息 安全 专业 系列 教材 "已 于 2006 年 年 初 正 式 列 人 普通 高 等 教育 “十 一 
五 国家 级 教材 规划 ( 见 教 高 L2006]9 号 文件 (教育 部 关于 印发 普通 高 等 教育 “十 一 五 ” 国 
家 级 教材 规划 选 题 的 通知 》) 。 我 们 会 严 把 出 版 环节 ,保证 规划 教材 的 编校 和 印刷 质量 , 按 
时 完成 出 版 任务 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 暨 第 一 次 会 
议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 主任 单 
位 北京 工业 大 学 和 北京 电子 科技 学 院 主办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 等 学 校 信息 
安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安全 专业 的 发 展 将 起 到 重要 的 指导 和 推动 
作用 。“ 高 等 院 校 信息 安全 专业 系列 教材 ”将 在 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 
委员 会 的 组 织 和 指导 下 ,进一步 体现 科学 性 .系统 性 和 新 颖 性 ,及 时 反映 教学 改革 和 课程 
建设 的 新 成 果 ,并 随 着 我 国信 息 安全 学 科 的 发 展 不 断 修 订 和 完善 。 

我 们 的 E-mail 地 址 : zhangm@tup. tsinghua. edu. cn; 联 系 人 : 张 民 。 


清华 大 学 出 版 社 


re 一 < 
有 三 


近 几 年 来 ,因特网 的 应 用 迅速 普及 与 发 展 ,特别 是 我 国电 子 政务 与 电子 
商务 的 应 用 日 新 月 异 。 信 息 技术 的 发 展 加 大 了 信息 共享 的 程度 ,但 信息 共享 
与 信息 安全 是 一 对 矛盾 ;因而 信息 共享 的 发 展 呼唤 信息 安全 。 目 前 ,我 国正 
在 大 力 发 展 信息 技术 与 信息 基础 平台 的 建设 。 与 此 同步 ,我 们 必须 大 力 加 强 
信息 安全 基础 设施 建设 ,首先 应 当 从 加 强 我 国 自主 版 权 的 高 等 级 安全 操作 系 
统 的 研制 与 开发 抓 起 。 

信息 安全 基础 设施 的 关键 是 安全 操作 系统 ,建设 以 我 国 自主 知识 产权 为 
基础 的 安全 操作 系统 ,形成 一 系列 基于 安全 操作 系统 的 信息 安全 产品 ,是 加 
强 我 国信 息 安全 基础 设施 的 根本 保证 。 没 有 操作 系统 安全 ,就 不 可 能 真正 解 
决 数据 库 安全 、 网 络 安全 和 其 他 应 用 系统 的 安全 问题 。 西 方 国家 ,无 论 在 高 
安全 等 级 操作 系统 的 关键 技术 ,还 是 产品 出 口 方 面 ,都 对 我 们 进行 保密 与 限 
制 。 在 一 定 程度 上 ,一 个 国家 安全 操作 系统 的 研制 水 平 ,代表 一 个 国家 信息 
安全 领域 的 整体 水 平 。 

近年 来 ,我 国 加 强 了 安全 操作 系统 的 研究 ,包括 操作 系统 安全 基础 理论 
的 研究 与 高 安全 等 级 操作 系统 的 研制 。 但 遗憾 的 是 ,长 期 以 来 ,我 国 关 于 操 
作 系统 安全 的 著作 几乎 为 空白 ,不 利于 我 国安 全 操作 系统 领域 的 整体 发 展 。 
有 鉴于 此 ,基于 我 们 在 此 领域 的 长 期 技术 积累 与 工程 实践 ,在 中 国 科学 院 科 
学 出 版 基金 的 支持 下 ,于 2003 年 初 由 科学 出 版 社 出 版 了 《操作 系统 安全 导 
论 ) 一 一 我 国 关 于 操作 系统 安全 的 第 一 部 专著 。 该 书 不 但 全 面 介绍 了 操作 系 
统 的 安全 特性 ,总 结 了 国际 最 新 研究 成 果 , 也 包括 作者 的 最 新 成 果 。 其 中 , 既 
包含 作者 在 安全 操作 系统 理论 研究 方面 的 成 果 , 也 包含 作者 在 工程 实践 方面 
的 成 果 , 即 安 胜 安全 操作 系统 的 设计 、 体 系 结构 与 实现 等 方面 的 特点 。 

上 述 专 著 出 版 后 ,反响 很 好 。 不 少 专家 与 领导 建议 ,尽快 出 版 一 部 关于 
操作 系统 安全 的 教材 ,满足 我 国 高 等 学 校 和 研究 机 构 培养 高 素质 信息 安全 人 
才 的 迫切 需求 。 在 清华 大 学 出 版 社 与 本 丛书 编 委 会 的 大 力 推动 与 支持 下 ,本 
书 第 1 版 于 2004 年 第 一 次 与 广大 读者 见面 。 本 书 发 行 以 来 受到 社会 广泛 好 
评 ,许多 高 校 都 将 本 书 选 为 本 科 生 高 年 级 或 硕士 研究 生 甚至 博士 研究 生 教 
材 。 在 清华 大 学 出 版 社 的 大 力 支 持 下 ,本 书 第 2 版 已 被 列 人 十 二 五 规划 教 
材 , 修 订 出 版 。 为 了 适应 学 生 学 习 与 教师 教学 的 需求 ,本 书 进行 了 精心 的 选 
材 和 编排 。 本 书 强调 少 而 精 , 亦 即 非 基 本 的 内 容 不 选 , 对 精 选 的 内 容 尽 量 清 
楚 、 明 确 地 阐述 。 其 次 ,本 书 还 有 以 下 特色 : 书 中 包括 作者 多 年 来 的 科研 成 
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果 , 包 含 了 国内 外 文献 中 很 少 涉及 的 技术 细节 ,有 助 于 读者 加 深 对 操作 系统 安全 内 涵 的 理 
解 。 此 外 ,本 书 每 一 章 后 面 都 附 有 习题 ,便于 读者 对 本 章 内 容 进行 进一步 的 思考 。 最 后 ， 


作 系 统 发 展 方向 进行 了 探讨 。 

本 书 共 分 12 章 : 第 1 章 是 引言 ( 卿 斯 汉 、 刘 文清 ) ,介绍 对 操作 系统 构成 的 威胁 、 安 全 
操作 系统 研究 的 发 展 历程 有 关 术 语 以 及 本 书 的 组 织 与 编排 ;第 2 章 是 基本 概念 ( 镍 斯 汉 、 
刘 文 清 ) ,介绍 操作 系统 安全 的 基本 概念 及 预备 知识 ;第 3 章 是 安全 机 制 ( 刘 文 清 、 沈 晴 
需 ) ,内容 包 括 硬件 安全 机 制 , 标 识 与 鉴别 .自主 存 取 控制 与 强制 存 取 控制 .最 小 特权 管理 、 
可 信和 通路 ,安全 审计 等 内 容 , 并 具体 介绍 UNIX/Linux 操作 系统 的 安全 机 制 ;第 4 章 是 安 
全 模型 ( 卿 斯 汉 、 刘 海峰 、 沈 晴 需 ) ,介绍 安全 模型 在 安全 操作 系统 中 的 重要 地 位 安全 模型 
的 分 类 以 及 若干 典型 的 安全 模型 (Bell-LaPalula、 Biba、 Clark-Wilson、Chinese Wall、 
RBAC、DTE. 信 息 流 和 无 干扰 模型 ) ;第 5 章 是 安全 体系 结构 ( 季 庆 光 、 沈 晴 需 ) ,通过 详细 
讲解 两 个 典型 实例 (权能 体系 和 Flask 体系 ) 以 及 体现 Flask 体系 的 Linux Security Mod- 
ule(LSM) 安 全 框架 ,说 明 安 全 体系 结构 的 含义 、 类 型 .设计 原则 和 实现 方法 ;第 6 章 是 形 
式 化 规范 与 验证 ( 温 红 子 ), 内 容 包 括 形式 化 安全 验证 的 原理 、 系 统 结 构 和 典型 实例 一 一 
ASOS; 第 7 章 隐 项 通道 分 析 与 处 理 ( 朱 继 锋 ) ,阐述 了 隐蔽 通道 的 概念 分类、 标识 技术 、 
带宽 计算 技术 、 人 处 理 技术 等 内 容 ; 第 8 章 是 安全 操作 系统 设计 ( 刘 文 清 、 沈 晴 沉 ) ,阐述 了 安 
全 操作 系统 设计 的 原则 、 方 法 、 过 程 及 应 注意 的 问题 ,并 给 出 了 几 个 典型 的 设计 实例 ;第 9 
章 是 操作 系统 安全 评测 (刘海 峰 、 刘 文清 ) ,介绍 评测 方法 以 及 国内 外 相关 评测 标准 ;第 10 
章 是 安全 操作 系统 的 网 络 扩展 ( 温 红 子 、 赵 志 科 ) ,介绍 安全 操作 系统 的 概念 ,策略 、 机 制 等 
在 网 络 上 的 扩展 和 应 用 ;第 11 章 是 可 信 计 算 与 可 信 操 作 系 统 ( 卿 斯 汉 `. 沈 晴 霓 ) ,介绍 可 信 
计算 的 概念 和 技术 ,以 及 基于 TPM/TCM 可 信和 操作 系 统 的 核心 技术 ;第 12 章 是 新 型 操作 
系统 发 展 与 展望 ( 卿 斯 汉 、 沈 晴 沈 ) ,介绍 随 着 安全 问题 的 日 益 突 出 和 云 计算 新 技术 的 出 
现 ,当前 业界 十 分 关注 的 新 型 网 络 化 和 云 操作 系统 的 发 展 及 其 安全 技术 方面 的 展望 。 全 
书 由 卿 斯 汉 、 沈 晴 霓 统 稿 。 
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操作 系统 面临 安全 威胁 


作为 信息 社会 的 一 块 最 主要 的 基石 ,与 信息 处 理 相 关 的 计算 机 技术 得 到 了 飞速 的 发 
展 。 社 会 对 信息 资源 进行 共享 和 有 效 处 理 的 迫切 需求 是 推动 计算 机 技术 近乎 以 “疯狂 ” 速 
度 发 展 的 原动力 ,也 造就 了 20 世纪 后 20 年 的 IT 业 繁 荣 时 代 。 但 是 进入 21 世纪 后 ,IT 
业 的 发 展 遇 到 了 一 个 比较 严酷 的 调整 期 ,人 们 都 在 思考 一 个 问题 一 一 IT 业 怎 么 了 ?”, 其 
实 除了 过 度 投 资 等 原因 之 外 , 另 一 个 根本 的 原因 还 在 于 ,以 计算 机 技术 为 核心 的 IT 业 还 
没有 完全 具备 解决 信息 处 理 中 安全 问题 的 能 力 , 特 别 是 不 具备 能 够 有 效 满足 在 因特网 这 
样 恢 弘 背景 下 的 经 济 政治 .金融 .军事 等 社会 基础 机 构 对 信息 安全 保障 近似 苛刻 要 求 的 
能 力 。 可 以 讲 信息 安全 技术 的 发 展 将 会 从 根本 上 影响 和 制约 信息 技术 的 进一步 发 展 。 

人 们 认识 信息 安全 问题 通常 是 从 对 系统 所 遭 到 的 各 种 成 功 或 者 未 成 功 的 入 侵 攻 击 的 
威胁 开始 的 ,这 些 威胁 大 多 是 通过 挖掘 操作 系统 和 应 用 程序 的 弱点 或 者 缺陷 来 实现 的 ,有 
记录 的 第 一 次 这 样 的 大 规模 攻击 当 属 1988 年 的 蠕虫 事件 。 同 时 AT&T 实验 室 的 
S. Bellovin 博士 曾 对 美国 CERT(Computer Emergency Response Term) 提 供 的 安全 报告 
进行 过 分 析 , 结 果 表 明 很 多 安全 问题 都 还 是 源 于 操作 系统 的 安全 脆弱 性 。 所 以 下 边 首 先 
来 介绍 对 操作 系统 安全 威胁 的 主要 类 型 。 


111 病毒 和 蠕虫 


1 病毒 

病毒 是 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 通 过 编制 或 者 在 计算 机 程序 中 
插入 这 段 代码 ,以 达到 破坏 计算 机 功能 .毁坏 数据 从 而 影响 计算 机 使 用 的 目的 。 病 毒 具有 
以 下 基本 特点 。 

1) 隐蔽 性 

病毒 程序 代码 驻 存在 磁盘 等 介质 上 ,通常 无 法 以 操作 系统 提供 的 文件 管理 方法 观察 
到 。 有 的 病毒 程序 设计 得 非常 巧妙 ,甚至 用 一 般 的 系统 分 析 软 件 工具 都 无 法 发 现 它 的 
存在 。 

2) 传染 性 

当 用 户 利用 磁盘 片 .网络 等 载体 交换 信息 时 ,病毒 程序 趁机 以 用 户 不 能 察觉 的 方式 随 
之 传播 。 即 使 在 同一 部 计算 机 上 ,病毒 程序 也 能 在 磁盘 上 的 不 同 区 域 间 传 播 ,附着 到 多 个 
文件 上 。 
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3) 潜伏 性 

病毒 程序 感染 正常 的 计算 机 之 后 ,一般 不 会 立即 发 作 , 而 是 潜伏 下 来 ,等 到 激发 条 件 
(如 日 期 \ 时 间 、 特 定 的 字符 串 等 ) 满 足 时 才 触 发 执行 恶意 代码 部 分 ,从 而 产生 破坏 作用 。 

4) 破坏 性 

当 病 毒 发 作 时 ,通常 会 在 屏幕 上 输出 一 些 不 正常 的 信息 ,同时 破坏 磁盘 上 的 数据 文件 
和 程序 。 如 果 是 引导 型 病毒 ,可 能 会 使 计算 机 无 法 启动 。 另 外 ,有 些 病毒 并 不 直接 破坏 系 
统 内 现存 的 信息 ,只 是 大 量 地 侵占 磁盘 存储 空间 ,或 使 计算 机 运行 速度 变 慢 ,或 造成 网 络 
堵塞 。 

2 蠕虫 

蠕虫 类 似 于 病毒 , 它 可 以 侵入 合法 数据 处 理 程序 ,并 且 更 改 或 破坏 这 些 数 据 。 尽 管 蠕 
虫 不 像 病 毒 那样 复制 自身 ,蠕虫 攻击 带 来 的 破坏 可 能 与 病毒 一 样 严重 ,尤其 是 在 没有 及 时 
发 觉 的 情况 下 。 然 而 一 旦 蠕虫 入 侵 被 发 现 , 恢 复 就 会 容易 一 些 , 因 为 它 没有 病毒 的 复制 能 
力 , 而 只 有 一 个 需要 被 清除 的 蠕虫 程序 。 最 具 代表 性 的 Ska 蠕虫 是 一 个 Windows 电子 邮 
件 和 新 闻 组 蠕虫 , 它 被 伪装 为 Happy99. exe 的 电子 邮件 附件 ,首次 运行 时 会 显示 焰火 , 运 
行 之 后 ,每 个 从 本 机 发 送 的 电子 邮件 和 新 闻 组 布告 都 会 导致 再 次 发 送 消 息 。 由 于 人 们 收 
到 的 Happy99. exe 来 自 于 他 们 所 认识 的 人 ,自然 会 信任 这 个 附件 并 且 运 行 它 。 


112 逻辑 炸弹 


逻辑 炸弹 是 加 在 现 有 应 用 上 的 程序 。 一 般 逻 辑 炸 弹 都 被 添加 在 被 感染 应 用 程序 的 起 
始 处 ,从 而 每 当 该 应 用 运行 时 就 会 运行 炸弹 。 通 常 要 检查 各 种 条 件 ,看 是 否 满足 运行 炸弹 
的 条 件 。 如 果 没 有 控制 权 就 归还 给 主 应 用 程序 ,逻辑 炸弹 仍然 安静 地 等 待 。 当 设 定 的 爆 
炸 条 件 被 满足 后 ,逻辑 炸弹 的 其 余 代码 就 会 执行 。 此 时 它 通 常 造成 终止 机 器 、 制 造 刺耳 品 
音 、 更 改 视频 显示 、 破 坏 磁 盘 上 的 数据 、 利 用 硬件 缺点 引发 硬件 失效 、 导 致 磁盘 异常 .使 操 
作 系统 减 慢 或 崩溃 等 危害 。 它 也 可 以 通过 写 入 非法 的 值 来 控制 视频 卡 的 端口 使 监视 功能 
失败 .使 键盘 失效 、 破 坏 磁盘 以 及 释放 出 更 多 逮 辑 炸弹 或 病毒 (间接 攻击 )。 逻 辑 炸 弹 不 能 
复制 自身 ,不 能 感染 其 他 程序 ,但 这 些 攻击 已 经 使 它 成 为 一 种 极 具 破坏 性 的 恶意 代码 
类 型 。 

逻辑 炸弹 具有 很 多 种 触发 方式 : 计数 器 触发 器 ,时间 触发 器 .复制 触发 器 ( 当 病 毒 复 
制 数量 达到 某 个 设 定 值 时 激活 )、 磁 盘 空 间 触发 器 .视频 模式 触发 器 ( 当 视 频 处 于 某 个 设 定 
模式 或 从 设 定 模式 改变 时 激活 )、 基 本 输入 输出 系统 (BIOS) 触 发 器 .只 读 内 存 (ROM) 触 
发 器 .键盘 触 发 带 、 反 病毒 触发 句 等 。 


113 特洛伊 木马 


特洛伊 木马 是 一 段 计算 机 程序 ,表面 上 在 执行 合法 功能 ,实际 上 却 完成 了 用 户 不 曾 料 
到 的 非法 功能 。 它 们 伪装 成 友好 程序 ,可 以 隐藏 在 任何 用 户 渴 望 得 到 的 东西 内 部 ,如 免费 
游戏 .mp3 歌曲 、 字 处 理 程序 、 编 译 程序 或 其 他 应 用 程序 ,由 可 信用 户 在 合法 工作 中 不 知 
不 觉 地 运行 。 一 旦 这 些 程序 被 执行 ,一 个 病毒 .蠕虫 或 其 他 隐藏 在 特洛伊 木马 程序 中 的 恶 
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意 代码 就 会 被 释放 出 来 ,攻击 个 人 用 户 工 作 站 ,随后 就 是 攻击 网 络 。 

一 个 有 效 的 特洛伊 木马 对 程序 的 预期 结果 无 明显 影响 ,也 许 永 远 查 不 出 它 的 破坏 。 
文本 编辑 程序 中 的 特洛伊 木马 会 小 心地 复制 用 户 在 编辑 的 文件 ,并 且 将 这 些 拷 贝 放 到 入 
侵 者 (使 用 特洛伊 木马 的 人 ) 将 来 可 以 访问 到 的 地 方 。 由 于 系统 不 能 区 分 特洛伊 木马 和 合 
法 程序 ,只 要 不 知情 的 用 户 使 用 了 这 个 编辑 程序 ,系统 就 不 能 阻止 特洛伊 木马 的 操作 。 特 
洛 伊 木马 必须 具有 以 下 几 项 功能 才能 成 功 地 入 侵 计 算 机 系统 : 

(1) 入 侵 者 要 写 一 段 程序 进行 非法 操作 ,程序 的 行为 方式 不 会 引起 用 户 的 怀疑 。 

(2) 必须 设计 出 某 种 策略 诱 使 受骗 者 接受 这 段 程 序 。 

(3) 必须 使 受骗 者 运行 该 程序 。 

(4) 入 侵 者 必须 有 某 种 手段 回收 由 特洛伊 木马 发 作为 他 带 来 的 实际 利益 。 

特洛伊 木马 通常 继承 了 用 户 程序 相同 的 用 户 ID、 存 取 权 优先 权 ,甚至 特权 。 因 此 ， 
特洛伊 木马 能 在 不 破坏 系统 的 任何 安全 规则 的 情况 下 进行 非法 活动 ,这 也 使 它 成 为 系统 
最 难 防御 的 一 种 危害 。 多 数 系统 不 是 为 防止 特洛伊 木马 而 专门 设计 的 ,一 般 只 能 在 有 限 
的 情况 下 进行 防御 。 特 洛 伊 木 马 程序 与 病毒 程序 不 同 , 是 一 个 独立 的 应 用 程序 ,不 具备 自 
我 复制 能 力 。 但 它 同 病毒 程序 一 样 具 有 潜伏 性 , 且 常 党 具有 更 大 的 欺骗 性 和 危害 性 。 

特洛伊 木马 通常 以 包含 恶意 代码 的 电子 邮件 消息 的 形式 存在 ,也 可 以 由 Internet 数 
据 流 携带 ,如 FTP 下 载 或 Web 站 点 上 的 可 下 载 applet 程序 。1999 年 肆虐 的 Mellissa 病 
毒 就 是 一 个 有 害 的 特洛伊 木马 的 案例 , 它 附 加 在 一 条 普通 的 看 上 去 无 害 的 电子 邮件 消息 
上 , 当 用 户 把 Microsoft Outlook 用 作 邮 件 的 收发 工具 时 ,此 时 附着 在 邮件 上 的 木马 就 把 
自己 发 送 给 在 该 用 户 电子 邮件 地 址 簿 上 列 出 的 许多 其 他 用 户 。 接 下 来 的 用 户 如 果 也 是 用 
Microsoft Outlook 作为 处 理 邮件 的 工具 ,那么 也 就 发 生 同 样 的 情形 ,导致 了 网 络 中 邮件 
数量 级 的 增长 ,从 而 也 就 产生 了 所 谓 的 邮件 风暴 ,这 种 邮件 风暴 极 易 导致 许多 Microsoft 
Exchange 服务 器 因为 用 户 的 信箱 被 充满 了 垃圾 邮件 而 罕 机 。 


114 天 窗 


天 窗 是 嵌 在 操作 系统 里 的 一 段 非法 代码 ,渗透 者 利用 该 代码 提供 的 方法 侵入 操作 系 
统 而 不 受 检查 。 天 窗 由 专门 的 命令 激活 ,一般 不 容易 发 现 。 而 且 天 窗 所 嵌入 的 软件 拥有 
渗透 者 所 没有 的 特权 。 通 常 天 窗 设置 在 操作 系统 内 部 ,而 不 在 应 用 程序 中 ,天 窗 很 像 是 操 
作 系统 里 可 供 渗透 的 一 个 缺陷 。 安 装 天 窗 就 是 为 了 渗透 , 它 可 能 是 由 操作 系统 生产 厂家 
的 一 个 不 道德 的 雇员 装 入 的 ,安装 天 窗 的 技术 很 像 特洛伊 木马 的 安装 技术 ,但 在 操作 系统 
中 实现 就 更 为 困难 。 与 特洛伊 木马 和 隐蔽 通道 不 同 , 天 窗 只 能 利用 操作 系统 的 缺陷 或 者 
混入 系统 的 开发 队伍 中 进行 安装 。 因 此 开发 安全 操作 系统 的 常规 技术 就 可 以 避免 天 窗 ， 
而 不 需要 专门 的 技术 解决 这 个 问题 。 


115 隐蔽 通道 


隐蔽 通道 可 定义 为 系统 中 不 受 安全 策略 控制 的 .违反 安全 策略 的 信息 泄露 路 径 。 按 
信息 传递 的 方式 和 方法 区 分 ,隐蔽 通道 分 为 存储 隐藏 通道 和 时 间 隐 项 通道 。 存 储 隐 项 通 
道 在 系统 中 通过 两 个 进程 利用 不 受 安 全 策略 控制 的 存储 单元 传递 信息 。 前 一 个 进程 通过 
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改变 存储 单元 的 内 容 发 送信 息 ,后 一 个 进程 通过 观察 存储 单元 的 变化 来 接收 信息 。 时 间 
隐蔽 通道 在 系统 中 通过 两 个 进程 利用 一 个 不 受 安全 策略 控制 的 广义 存储 单元 传递 信息 。 
前 一 个 进程 通过 改变 广义 存储 单元 的 内 容 发 送信 息 ,后 一 个 进程 通过 观察 广义 存储 单元 
的 变化 接收 信息 ,并 用 如 实时 时 钟 这 样 的 坐标 进行 测量 。 广 义 存储 单元 只 能 在 短 时 间 内 
保留 前 一 个 进程 发 送 的 信息 ,后 一 个 进程 必须 迅速 地 接收 广义 存储 单元 的 信息 ,否则 信息 
将 消失 。 判 别 一 个 隐蔽 通道 是 否 是 时 间 隐 蔽 通道 ,关键 是 看 它 有 没有 一 个 实时 时 钟 ,间隔 
定时 器 或 其 他 计时 装置 ,不 需要 时 钟 或 定时 器 的 隐蔽 通道 是 存储 隐蔽 通道 。 

一 个 有 效 可 靠 的 操作 系统 应 具有 很 强 的 安全 性 ,必须 具有 相应 的 保护 措施 ,消除 或 限 
制 如 病毒 、 逻 辑 炸 弹 、 特 洛 仇 木马、 天窗、 隐蔽 通道 等 对 系统 构成 的 安全 隐患 。 

总 的 来 讲 ,在 过 去 的 数 十 年 里 ,恶意 代码 (通常 也 被 称 为 计算 机 病毒 ) 已 经 从 学 术 上 的 
好 奇 论题 发 展 成 为 一 个 持久 的 、 世 界 范围 的 问题 。 通 常 许多 人 误 用 了 “病毒 "这 个 词 , 认 为 
它 代表 所 有 感染 计算 机 并 且 造 成 破坏 的 程序 。 事 实 上 这 样 的 术语 应 该 是 恶意 代码 。 一 个 
病毒 只 是 一 个 通过 复制 自己 来 感染 其 他 系统 /程序 的 计算 机 程序 。 蠕 虫 类 似 于 病毒 ,但 是 
它们 并 不 复制 自己 ,其 目的 通常 是 搞 破坏 。 人 逻辑 炸弹 包括 各 种 在 特定 的 条 件 满足 时 就 会 
被 激活 的 恶意 代码 。 病 毒 . 蠕 虫 和 逻辑 炸弹 都 可 以 隐藏 在 其 他 程序 的 源 代 码 内 部 ,而 且 这 
些 程序 往往 伪装 成 无 害 的 程序 ,如 图 形 显示 程序 和 游戏 等 。 这 些 程序 则 称 为 特洛伊 木马 。 
天 窗 是 嵌 在 操作 系统 里 的 一 段 非法 代码 ,渗透 者 可 以 利用 该 代码 提供 的 方法 侵入 操作 系 
统 而 不 受 检查 。 隐 项 通道 则 是 系统 中 不 受 安 全 策略 控制 的 .违反 安全 策略 的 信息 泄露 路 
径 。 无 论 它们 的 表现 形式 和 运作 机 理 是 如 何 的 不 同 ,但 有 一 点 是 相同 的 ,也 就 是 无 论 计算 
机 病毒 .蠕虫 . 逻 辑 炸弹 、 特 洛 伊 木马. 天 窗 ,还 是 隐蔽 通道 都 对 操作 系统 安全 构成 了 威胁 。 


“和 操作 系统 安全 和 信息 系统 安全 


从 安全 角度 来 看 ,操作 系统 软件 的 配置 是 很 困难 的 ,配置 时 一 个 很 小 的 错误 就 可 能 导 
致 一 系列 安全 漏洞 。 例 如 文件 系统 常 被 配置 得 缺乏 安全 性 ,所 以 应 对 其 进行 仔细 的 检查 。 
当 配置 文件 所 有 权 和 权限 时 ,常常 由 于 文件 的 账户 所 有 权 不 正确 或 文件 权限 设置 的 不 正 
确 而 导致 潜在 漏洞 。 因 此 建立 一 个 安全 的 信息 系统 较 之 建立 一 个 正确 无 误 的 信息 系统 要 
简单 得 多 ,但 目前 市 场 上 尚 无 任何 一 个 大 型 操作 系统 可 以 做 到 完全 正确 。 所 有 大 型 操作 
系统 的 生产 厂商 都 定期 推出 新 的 操作 系统 版 本 ,其 中 包括 数 以 千 计 修改 了 的 语句 和 代码 ， 
而 这 些 改动 绝 大 多 数 是 为 了 纠正 系统 中 的 错误 或 弥补 其 缺陷 而 进行 的 。 实 际 上 从 来 没有 
一 个 操作 系统 的 运行 是 完美 无 缺 的 ,也 没有 一 个 厂商 敢 保 证 他 们 的 操作 系统 不 会 出 错 。 
工业 界 已 经 承认 这 样 一 个 事实 : 任何 操作 系统 都 是 有 缺陷 的 。 但 是 另 一 方面 :也 可 以 说 
绝 大 多 数 操作 系统 是 可 靠 的 ,可 以 基本 完成 其 设计 功能 。 

就 计算 机 安全 而 言 ,一 个 操作 系统 仅仅 完成 其 大 部 分 的 设计 功能 是 远 远 不 够 的 。 当 
我 们 发 现 计算 机 操作 系统 的 某 个 功能 模块 上 只 有 一 个 不 太 重 要 的 故障 时 ,我 们 可 以 忽略 
它 , 这 对 整个 操作 系统 的 功能 影响 甚 微 ,一般 而 言 只 有 若干 种 故障 的 某 种 特定 组 合 才 可 能 
会 对 操作 系统 造成 致命 的 影响 。 但 是 在 安全 领域 ,情况 就 并 非 如 此 简单 。 在 信息 系统 中 
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与 安全 相关 的 每 一 个 漏洞 都 会 使 整个 系统 的 安全 控制 机 制 变 得 毫 无 价值 。 这 个 漏洞 如 果 
被 蓄意 人 侵 者 发 现 ,后 果 将 是 十 分 严重 的 。 这 如 同一 个 墙 上 有 洞 的 房间 ,虽然 可 以 居住 ， 
却 无 法 将 盗贼 拒 之 门 外 。 

另外 从 计算 机 信息 系统 的 角度 分 析 , 可 以 看 出 在 信息 系统 安全 所 涉及 的 众多 内 容 中 ， 
操作 系统 .网 络 系统 与 数据 库 管 理 系统 的 安全 问题 是 核心 。 数 据 库 通常 是 建立 在 操作 系 
统 之 上 的 ,如 果 没 有 操作 系统 安全 机 制 的 支持 ,就 不 可 能 保障 其 存 取 控 制 的 安全 可 信和 性 。 
在 网 络 环境 中 ,网 络 的 安全 可 信 性 依赖 于 各 主机 系统 的 安全 可 信 性 ,没有 操作 系统 的 安全 
性 ,就 像 会 有 主机 系统 和 网 络 系统 的 安全 性 。 而 像 密码 认证 系统 (如 Kerberos) 的 密 钥 分 
配 服 务 器 的 自身 安全 性 、IPSEC 网 络 安全 协议 的 安全 性 等 ,虽然 主要 依赖 应 用 层 的 密 钥 
管理 功能 ,但 如 果 不 相 信 操 作 系 统 可 以 保护 数据 文件 , 那 就 不 应 该 相信 它 总 能 够 适时 地 加 
密 文 件 并 能 妥善 地 保护 密 钥 。 若 无 安全 的 操作 系统 作为 基础 ,数据 加 密 就 成 了 “ 纸 环 上 套 
了 个 铁 环 ”。 仅 有 应 用 层 的 安全 措施 是 绝对 不 够 的 ,系统 还 特别 需要 把 安全 操作 系统 作为 
安全 的 基石 。 

因此 操作 系统 的 安全 性 在 计算 机 信息 系统 的 整体 安全 性 中 具有 至 关 重 要 的 作用 , 没 
有 操作 系统 提供 的 安全 性 ,信息 系统 的 安全 性 是 没有 基础 的 。 

一 般 来 说 ,操作 系统 安全 与 安全 操作 系统 的 含义 不 尽 相 同 ,操作 系统 的 安全 性 是 必需 
的 ,而 安全 操作 系统 的 安全 性 则 是 其 特色 。 安 全 操作 系统 是 针对 安全 性 开发 增强 的 ,并 且 
一 般 与 相应 的 安全 等 级 相对 应 。 我 们 可 以 评价 任何 一 个 操作 系统 的 安全 性 ,并 可 以 说 它 
们 都 具有 一 定 的 安全 性 , 却 不 能 说 它们 都 是 安全 操作 系统 。 但 二 者 又 是 统一 的 和 密 不 可 
分 的 ,因为 它们 都 在 讨论 系统 的 安全 性 。 
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Moultics 是 开发 安全 操作 系统 最 早期 的 尝试 。1965 年 美国 贝尔 实验 室 和 麻 省 理工 学 
院 的 MAC 课题 组 等 一 起 联合 开发 一 个 称 为 Multics 的 新 操作 系统 ,其 目标 是 要 向 大 的 用 
户 团 体 提 供 对 计算 机 的 并 发 访问 ,支持 强大 的 计算 能 力 和 数据 存储 ,并 具有 很 高 的 安全 
性 。 贝 尔 实验 室 中 后 来 参加 UNIX 早期 研究 的 许多 人 当时 都 参加 了 Moultics 的 开发 工 
作 。 由 于 Multics 项 目 目标 的 理想 性 和 开发 中 所 遇 到 的 远 超 预期 的 复杂 性 使 得 结果 不 是 
很 理想 。 事 实 上 连 他 们 自己 也 不 清楚 什么 时 候 , 开 发 到 什么 程度 才 算 达到 设计 的 目标 。 
虽然 Multics 未 能 成 功 ,但 它 在 安全 操作 系统 的 研究 方面 迈 出 了 重要 的 第 一 步 , Multics 
为 后 来 的 安全 操作 系统 研究 积累 了 大 量 的 经 验 ,其 中 Mitre 公司 的 Bell 和 La Padula 合 
作 设 计 的 BLP 安全 模型 首次 成 功 地 用 于 Multics ,BLP 安全 模型 后 来 一 直 都 作为 安全 操 
作 系 统 开发 所 采用 的 基础 安全 模型 。 

Adept-50 是 一 个 分 时 安全 操作 系统 ,可 以 实际 投入 使 用 ,1969 年 C. Weissman 发 表 
了 有 关 Adept-50 的 安全 控制 的 研究 成 果 。 安 全 Adept-50 运行 于 IBM/360 硬件 平台 , 它 
以 一 个 形式 化 的 安全 模型 一 一 高 水 印 模型 (high-water-mark model) 为 基础 ,实现 了 美国 
的 一 个 军事 安全 系统 模型 ,为 给 定 的 安全 问题 提供 了 一 个 比较 形式 化 的 解决 方案 。 在 该 
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系统 中 可 以 为 客体 标 上 敏感 级 别 (sensitivity level) 属 性 。 系 统 支持 的 基本 安全 条 件 是 对 
于 读 操作 不 允许 信息 的 敏感 级 别 高 于 用 户 的 安全 级 别 (clearance) ;在 授权 情况 下 ,对 于 写 
操作 允许 信息 从 高 敏感 级 别 移 向 低 敏感 级 别 。 

1969 年 B. W. Lampson 通过 形式 化 表示 方法 运用 主体 (subject) 、 客 体 (object) 和 访 
问 矩 阵 (access matrix) 的 思想 第 一 次 对 访问 控制 问题 进行 了 抽象 。 主 体 是 访问 操作 中 的 
主动 实体 ,客体 是 访问 操作 中 被 动 实体 ,主体 对 客体 进行 访问 。 访 问 和 矩阵 以 主体 为 行 索 
引 \ 以 客体 为 列 索引 ,和 矩阵 中 的 每 一 个 元 素 表 示 一 组 访问 方式 ,是 若干 访问 方式 的 集合 。 
和 矩阵 中 第 i 行 第 j 列 的 元 素 Mj; 记录 着 第 i 个 主体 S; 可 以 执行 的 对 第 j 个 客体 O; 的 访问 
方式 ,例如 My 二 {read,write} 表 示 S; 可 以 对 O; 进行 读 和 写 操 作 。 

1972 年 ,J. P. Anderson 在 一 份 研究 报告 中 提出 了 访问 监控 器 (reference monitor)、 
引用 验证 机 制 (reference validation mechanism)、 安 全 内 核 (security kernel) 和 安全 建 模 
(modeling) 等 重要 思想 。J. P. Anderson 指出 ,要 开发 安全 系统 ,首先 必须 建立 系统 的 安 
全 模型 ,完成 安全 系统 的 建 模 之 后 ,再 进行 安全 内 核 的 设计 与 实现 。 

1973 年 ,B. W. Lampson 提出 了 隐蔽 通道 的 概念 ,他 发 现 两 个 被 限制 通信 的 实体 之 间 
如 果 共 享 某 种 资源 ,那么 它们 可 以 利用 隐蔽 通道 传递 信息 。 

同年 ,D. E. Bell 和 世 .J. LaPadula 提出 了 第 一 个 可 证 明 的 安全 系统 的 数学 模型 , 即 
BLP 模型 。1976 年 Bell 和 LaPadula 完成 的 研究 报告 给 出 了 BLP 模型 的 最 完整 表述 ,其 
中 包含 模型 的 形式 化 描述 和 非 形式 化 说 明 , 以 及 模型 在 Multics 系统 中 实现 的 解释 。 

PSOS(Provably Secure Operating System) 提 供 了 一 个 层次 结构 化 的 基于 权能 的 安 
全 操作 系统 设计 ,1975 年 前 后 开始 开发 。PSOS 采用 了 层次 式 开发 方法 ,通过 形式 化 技术 
实现 对 安全 操作 系统 的 描述 和 验证 ,设计 中 的 每 一 个 层次 管理 一 个 特定 类 型 的 对 象 ,系统 
中 的 每 一 个 对 象 通过 该 对 象 的 权能 表示 进行 访问 。 

KSOS(Kernelized Secure operating System) 是 美国 国防 部 研究 计划 局 1977 年 发 起 
的 一 个 安全 操作 系统 研制 项 目 , 由 Ford 太空 通信 公司 承担 。KSOS 采用 了 形式 化 说 明 与 
验证 的 方法 ,目标 是 高 安全 可 信人 性 。 

UCLA Secure UNIX 也 是 美国 国防 部 研究 计划 局 于 1978 年 前 后 发 起 的 一 个 安全 操 
作 系 统 研制 项 目 , 由 加 利 福 尼 亚 大 学 承担 。UCLA Secure UNIX 的 系统 设计 方法 及 目标 
几乎 与 KSOS 相同 。 

美国 国防 部 于 1983 年 出 版 了 历史 上 第 一 个 计算 机 安全 评价 标准 一 一 (可 信 计 算 机 系 
统 评 价 准则 (TCSEC)》, 1985 年 ,美国 国防 部 对 TCSEC 进行 了 修订 。TCSEC 提供 了 D、 
Cl、C2、B1、B2、B3 和 Al 等 七 个 从 低 到 高 的 可 信 系 统 评价 等 级 ,每 个 等 级 对 应 有 确定 的 
安全 特性 需求 和 保障 需求 ,为 计算 机 系统 的 可 信 程 度 划分 和 评价 提供 了 准则 。TCSEC 的 
封面 是 橘 黄色 ,所 以 一 般 又 称 为 橘 皮 书 。 虽 然 橘 皮 书 并 不 是 一 本 设计 说 明 书 ,但 现在 设计 
者 已 把 橘 皮 书 中 的 思想 融 于 安全 操作 系统 的 设计 之 中 。 

LINVS 是 1984 年 开发 的 基于 UNIX 的 一 个 实验 安全 操作 系统 ,系统 的 安全 性 可 
达到 美国 国防 部 橘 皮 书 的 B2 级 。 它 以 4. 1BSD UNIX 为 原型 ,实现 了 身份 鉴别 .自主 访 
问 控制 .强制 访问 控制 .安全 审计 、 特 权 用 户 权限 分 隔 等 安全 功能 。 

Secure Xenix 是 IBM 公司 于 1986 年 在 SCO Xenix 的 基础 上 开发 的 一 个 安全 操作 系 
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统 , 它 最 初 是 在 IBM PC/AT 平 台 上 实现 的 。Secure Xenix 对 Xenix 进行 了 大 量 的 改造 
开发 ,并 采用 了 一 些 形式 化 说 明 与 验证 技术 。 它 的 目标 是 TCSEC 的 B2 到 Al 级 。IBM 
公司 的 V. D. Gligor 等 在 发 表 Secure Xenix 系统 的 设计 与 开发 成 果 中 ,把 UNIX 类 的 安 

全 操作 系统 开发 方法 划分 成 仿真 法 和 改造 /增强 法 两 种 方式 。Secure Xenix 系统 采用 的 

是 改造 /增强 法 。 另 外 ,值得 指出 的 是 Secure Xenix 系统 基于 安全 注意 键 (Secure 
Attention Key,SAK) 实 现 了 可 信 通 路 (trusted path) ,并 在 安全 保证 方面 重点 考虑 了 以 下 

目标 : 

(1) 系统 设计 与 BLP 模型 之 间 的 一 致 性 ; 

(2) 实现 的 安全 功能 的 测试 ; 

(3) 软件 配置 管理 工具 的 开发 。 

1987 年 ,美国 Trusted Information Systems 公司 以 Mach 操作 系统 为 基础 开发 了 B3 
级 的 Tmach(Trusted Mach) 操 作 系 统 。 除 了 进行 用 户 标识 和 鉴别 及 命名 客体 的 存 取 控 
制 外 , 它 将 BLP 模型 加 以 改进 ,运用 到 对 MACH 核心 的 端口 .存储 对 象 等 的 管理 中 。 通 
过 对 端口 间 的 消息 传送 进行 控制 和 对 端口 存储 对 象 , 任 务 等 的 安全 标识 来 加 强 微 核心 的 
安全 机 制 。 

1989 年 ,加 拿 大 多 伦 多 大 学 开发 了 与 UNIX 兼容 的 安全 TUNIS 操作 系统 。 在 实现 
中 安全 TUNIS 改进 了 BLP 模型 ,并 用 Turing Plus 语言 (而 不 是 C 语言 ) 重 新 实现 了 
UNIX 内 核 , 模 块 性 相当 好 。Turing Plus 是 一 种 强 类 型 高 级 语言 ,其 大 部 分 语句 都 具有 
用 于 正确 性 证 明 的 形式 语义 。 在 发 表 安 全 TUNIS 设计 开发 成 果 中 ,Gernier 等 指出 ,如 
果 不 进行 系统 的 重新 设计 ,以 传统 UNIX 系统 为 原型 ,很 难 开发 出 高 于 TCSEC 标准 的 
B2 级 安全 操作 系统 ,这 一 方面 是 因为 用 于 编写 UNIX 系统 的 C 语言 是 一 个 非 安全 的 语 
言 , 男 一 方面 是 因为 UNIX 系统 内 部 的 模块 化 程度 不 够 。 安 全 TUNIS 系统 的 设计 目标 
是 B3-Al 级 ,支持 这 个 目标 的 关键 也 在 于 : 第 一 采用 了 Turing Plus 语言 ,第 二 采用 了 安 
全 策略 与 安全 机 制 相 分 离 的 方法 ,并 提供 了 一 个 简单 而 结构 规范 的 TCB, 从 而 简化 了 
TCB 的 验证 工作 。 

ASOS(Army Secure Operating System) 是 针对 美军 的 战术 需要 而 设计 的 军用 安全 
操作 系统 ,由 TRW 公司 1990 年 发 布 完成 。ASOS 由 两 类 系统 组 成 ,其 中 一 类 是 多 级 安 
全 操作 系统 ,设计 目标 是 TCSEC 的 Al 级 ; 另 一 类 是 专用 安全 操作 系统 ,设计 目标 是 
TCSEC 的 C2 级 。 两 类 系统 都 支持 Ada 语言 编写 的 实时 战术 应 用 程序 ,都 能 根据 不 同 的 
战术 应 用 需求 进行 配置 ,都 可 以 很 容易 地 在 不 同 硬件 平台 间 移 植 , 两 类 系统 还 提供 了 一 致 
的 用 户 界 面 。 从 具体 实现 上 来 看 ,ASOS 操作 系统 还 具有 以 下 特点 : 

。 ASOS 操作 系统 本 身 也 主要 是 用 Ada 语言 实现 的 ; 

。 ASOS 采用 访问 控制 列表 (ACL) 实 现 了 细 粒 度 的 自主 访问 控制 ; 

。 ASOS 依据 BLP 模型 实现 了 防止 信息 泄露 的 强制 访问 控制 ,依据 Biba 模型 实现 

了 确保 数据 完整 性 的 强制 访问 控制 ; 

。 ASOS 在 形式 化 验证 中 建立 了 两 个 层次 的 规范 和 证 明 , 一 个 层次 用 于 抽象 的 安全 

模型 , 另 一 个 层次 用 于 形式 化 顶层 规范 ; 

。 用 于 证 明 系 统 安全 性 的 主要 工具 是 Gypsy 验证 环境 (GVE) ,ASOS 开发 了 一 个 在 
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GVE 中 工作 的 流 分 析 工 具 , 用 于 分 析 系 统 设 计 中 潜在 的 隐蔽 通道 。 

OSF/1 是 开放 软件 基金 会 于 1990 年 推出 的 一 个 安全 操作 系统 ,被 美国 国家 计算 机 
安全 中 心 (NCSC) 认 可 为 符合 TCSEC 的 B1 级 ,其 主要 安全 性 表现 为 : 

。 系统 标识 ; 

。 口令 管理 ; 

。 强制 存 取 控 制 和 自主 存 取 控制 ; 

。 审计 。 

UNIX SVR4. 1ES 是 UI(UNIX 国际 组 织 ) 于 1991 年 推出 的 一 个 安全 操作 系统 ,被 
美国 国家 计算 机 安全 中 心 (NCSC) 认 可 为 符合 TCSEC 的 B2 级 , 除 OSF/1 外 的 安全 性 主 
要 表现 在 : 

。 更 全 面 的 存 取 控制 ; 

。 最 小 特权 管理 ; 

。 可 信 通 路 ; 

。 隐蔽 通道 分 析 和 处 理 。 

1991 年 ,在 欧洲 共同 体 的 赞助 下 , 英 、 德 .法 、 荷 四 国 制定 了 拟 为 欧 共 体 成 员 国 使 用 的 
共同 标准 一 一 信息 技术 安全 评定 标准 (ITSEC) 。 随 着 各 种 标准 的 推出 和 安全 技术 产品 的 
发 展 ,美国 和 加 拿 大 及 欧 共 体 国 家 一 起 制定 了 通用 安全 评价 准则 (Common Criteria for 
IT Security Evaluation,CC),1996 年 1 月 发 布 了 CC 的 1.0 版。CC 标准 的 2.0 版 已 于 
1997 年 8 月 颁布 ,并 于 1999 年 7 月 通过 国际 标准 组 织 认 可 ,确立 为 国际 标准 , 即 ISO/ 


IEC 15408。 
CC 本 身 由 两 部 分 组 成 ,一 部 分 是 一 组 信息 技术 产品 的 安全 功能 需求 的 定义 , 另 一 部 
分 是 对 安全 保证 需求 的 定义 。CC 标准 吸收 了 各 国 对 信息 系统 安全 的 经 验 与 知识 ,将 会 


对 信息 安全 的 研究 与 应 用 带 来 重大 影响 。 

在 1992 到 1993 年 之 间 , 美 国 国家 安全 局 (NSA) 和 安全 计算 公司 (SCC) 的 研究 人 员 
在 TMach 项 目 和 LOCK 项 目的 基础 上 ,共同 设计 和 实现 了 分 布 式 可 信 Mach 系统 
(Distributed Trusted Mach,DTMach)。DTMach 项 目的 后 继 项 目 是 分 布 式 可 信 操 作 系 
统 (Distributed Trusted Operating System,DTOS)。DTOS 项 目 改 良 了 早期 的 设计 和 实 
现 工作 ,产生 了 一 些 供 大 学 研究 的 原型 系统 ,例如 Secure Transactional Resources、DX 
等 。 此 外 ,DTOS 项 目 产 生 了 一 些 学 术 报 告 、 系 统 形式 化 的 需求 说 明 书 、 安 全 策略 和 特性 
的 分 析 、 组 合 技 术 的 研究 和 对 多 种 微 内 核 系 统 安全 和 保证 的 研究 。 当 DTOS 项 目 快 要 完 
成 时 ,NSA、SCC 和 犹他 州 大 学 的 Flux 项 目 组 联合 将 DTOS 安全 结构 移植 到 Fluke 操作 
系统 研究 中 。 在 将 结构 移植 到 Fluke 的 过 程 中 ,他 们 改良 了 结构 以 更 好 地 支持 动态 安全 
策略 。 这 个 改良 后 的 结构 就 叫 Flask。 一 些 Flask 的 接口 和 组 件 就 是 从 Fluke 到 OSKit 
中 的 接口 和 组 件 中 继承 下 来 的 。2001 年 ,Flask 由 NSA 在 Linux 操作 系统 上 实现 ,并 且 不 同 
寻常 地 向 开放 源码 社区 发 布 了 一 个 安全 性 增强 型 版 本 的 Linux(SELinux) 一 一 包括 代码 和 
所 有 文档 。 

与 传统 的 基于 TCSEC 标准 的 开发 方法 不 同 ,1997 年 美国 国家 安全 局 和 安全 计算 公 
司 完成 的 DTOS 安全 操作 系统 采用 了 基于 安全 威胁 的 开发 方法 。 设 计 目 标 为 : 
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。 策略 灵活 性 。DTOS 内 核 应 该 能 够 支持 一 系列 的 安全 策略 ,包括 诸如 国防 部 的 强 
制 存 取 控 制 多 级 安全 策略 。 

。 与 Mach 兼容 , 现 有 的 Mach 应 用 应 能 在 不 做 任何 改变 的 情况 下 运行 。 

。 性 能 应 与 Mach 接近 。 

SELinux 以 Flask 安全 体系 结构 为 指导 ,通过 安全 判定 与 安全 实施 的 分 离 实现 了 安 
全 策略 的 独立 性 ,借助 访问 向 量 缓存 (AVC) 实 现 了 对 动态 策略 的 支持 。SELinux 定义 了 
一 个 类 型 实施 (TE) 策 略 , 基 于 角色 的 访问 控制 (RBAC) 策 略 和 多 级 安全 (MLS) 策 略 组 合 
的 安全 策略 ,其 中 TE 和 RBAC 策略 总 是 系统 实现 的 安全 策略 的 有 机 组 成 。 

EROS(Extremely Reliable Operating System) 是 一 种 基于 权能 (Capability, 又 称 能 
力 ) 的 高 性 能 微 内 核实 时 安全 操作 系统 ,是 GNOSIS( 后 命名 为 KeyKOS) 体 系 结构 的 第 三 
代 实 现 。EROS 最 初 由 美国 宾夕法尼亚 大 学 开发 ,此 项 目 现 已 转 入 约翰 一 霍 普 金 斯 大 学 。 
目前 ,EROS 仍 处 在 研究 开发 阶段 ,只 支持 Intel 486 以 上 的 系列 芯片 。 第 一 个 EROS 内 
核 已 在 1999 年 完成 ,现在 开发 的 版 本 是 EROS 2.0, 不 久 就 会 发 布 。 EROS 的 源 代码 遵守 
GPL 规范 ,可 在 其 网 站 (http://www. eros-os. org) 获 得 。 

其 他 还 有 一 些 安全 操作 系统 开发 项 目 , 如 Honeywell 的 STOP、Gemini 的 GEMSOS、 
DEC 的 YMM(Virtual Machine Monitor) 等 ,以 及 HP 和 Data General 等 公司 开发 的 安全 操 
作 系 统 。 

在 我 国 ,也 进行 了 许多 有 关 安 全 操作 系统 的 开发 研制 工作 ,并 取得 了 一 些 研究 成 果 。 

1990 年 前 后 ,海军 计算 技术 研究 所 和 解放军 电子 技术 学 院 分 别 开 始 了 安全 操作 系统 
技术 方面 的 探讨 ,他 们 都 是 参照 美国 TCSEC 标准 的 B2 级 安全 要 求 ,基于 UNIX System 
V3.2 进行 安全 操作 系统 的 研究 与 开发 。 

1993 年 ,海军 计算 技术 研究 所 继续 按照 美国 TCSEC 标准 的 B2 级 安全 要 求 ,围绕 
UNIX SVR4. 2/SE, 实 现 了 国产 自主 的 安全 增强 包 。 

1995 年 ,在 国家 “ 八 五 ”科技 攻关 项 目 一 “COSA 国产 系统 软件 平台 ”中 ,围绕 
UNIX 类 国产 操作 系统 COSIX V2.0 的 安全 子 系统 的 设计 与 实现 ,中 国 计 算 机 软件 与 技 
术 服 务 总 公司 、 海 军 计算 技术 研究 所 和 中 国 科 学 院 软 件 研 究 所 一 起 参与 了 研究 工作 。 
COSIX V2.0 安全 子 系统 的 设计 目标 是 介 于 美国 TCSEC 的 Bl 和 B2 级 安全 要 求 之 间 ， 
当时 定义 为 B17 ,主要 实现 的 安全 功能 包括 安全 登录 .自主 访问 控制 .强制 访问 控制 .特权 
管理 .安全 审计 和 可 信 通 路 等 。 

1996 年 ,由 中 国 国防 科学 技术 工业 委员 会 发 布 了 军用 计算 机 安全 评估 准则 
GJB2646 一 96( 一 般 简称 为 军 标 ) , 它 与 美国 TCSEC 基本 一 致 。 

1998 年 , 原 电子 工业 部 十 五 所 基于 UNIXWare V2. 1 按照 美国 TCSEC 标准 的 Bl 级 
安全 要 求 , 对 UNIX 操作 系统 的 内 核 进行 了 安全 性 增强 。 

1999 年 10 月 19 日 ,我 国 国家 技术 监督 局 发 布 了 国家 标准 GB 17859 一 199%( 计 算 机 
信息 系统 安全 保护 等 级 划分 准则 》 .为 计算 机 信息 系统 安全 保护 能 力 划分 了 等 级 。 该 标准 
已 于 2001 年 起 强制 执行 。2002 年 ,公安 部 在 GB 17859 的 基础 上 ,发 布 实施 了 五 个 行业 
新 标准 ,其 中 包括 GA 388 一 2002《 计 算 机 信息 系统 安全 等 级 保护 操作 系统 技术 要 求 》。 
为 了 适应 我 国 等 级 保护 的 要 求 ,先后 形成 了 相应 的 国家 标准 : GB/T 20008 一 2005《 信 息 
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安全 技术 操作 系统 安全 评估 准则 》GB/T 20270 一 2006《 信 息 安全 技术 操作 系统 安全 技术 
要 求 》。 

Linux 自由 软件 的 广泛 流行 对 我 国安 全 操作 系统 的 研究 与 开发 具有 积极 的 推进 作 
用 。2001 年 前 后 ,我 国安 全 操作 系统 研究 人 员 相 继 推出 了 一 批 基于 Linux 的 安全 操作 系 
统 开发 成 果 。 这 包括 : 

中 国 科 学 院 信 息 安全 技术 工程 研究 中 心 基于 Linux 资源 ,先后 于 2001 年 和 2005 年 
开发 完成 了 符合 我 国 GB 17859 一 1999 第 三 级 (相当 于 美国 TCSEC B1) 和 第 四 级 (相当 于 
美国 TCSEC B2) 安 全 要 求 的 安全 操作 系统 安 胜 3.0 和 安 胜 4.0。 安 胜 3.0 系统 提供 了 身 
份 标识 与 鉴别 .自主 访问 控制 .强制 访问 控制 .最 小 特权 管理 .安全 审计 、 可 信 通 路 、 密 码 服 
务 网络 安 全 服务 等 方面 的 安全 功能 。 安 胜 4.0 提供 了 更 完备 的 上 述 安全 功能 ,并 实现 了 
强制 完整 性 控制 ,客体 重用 控制 .隐蔽 存储 通道 分 析 和 处 理 ,建立 了 明确 定义 的 形式 化 安 
全 策略 模型 ,以 及 设计 实现 了 一 种 支持 多 策略 的 安全 体系 结构 。 

依托 南京 大 学 的 江苏 南大 苏 富 特 软件 股份 有 限 公 司 开 发 完成 了 基于 Linux 的 安全 操 
作 系 统 SoftOS ,实现 的 安全 功能 包括 强制 访问 控制 审计、 禁止 客体 重用 .入 侵 检 测 等 。 

原 信 息 产 业 部 30 所 控股 的 三 零 盛 安 公司 推出 的 强 林 Linux 安全 操作 系统 ,达到 了 我 
国 GB 17859 一 1999 第 三 级 的 安全 要 求 。 

中 国 科学 院 软 件 所 开放 系统 与 中 文 处 理 中 心 基于 红旗 Linux 操作 系统 ,实现 了 符合 
我 国 GB 17859 一 1999 第 三 级 要 求 的 安全 功能 。 

中 国 计 算 机 软件 与 技术 服务 总 公司 以 美国 TCSEC 标准 的 Bl 级 为 安全 目标 ,对 其 
COSIX V2.0 进行 了 安全 性 增强 改造 。 

此 外 ,国防 科技 大 学 .总 参 56 所 等 其 他 单位 也 开展 了 安全 操作 系统 的 研究 与 开发 
下 故 

2001 年 3 月 8 日 ,我 国 国家 技术 监督 局 发 布 了 国家 标准 GB/T 18336 一 2001《 信 息 技 
术 安 全 技术 ”信息 技术 安全 性 评估 准则 》, 它 基本 上 等 同 采用 了 国际 通用 安全 评价 准则 
CC。 该 标准 已 于 2001 年 12 月 1 日 起 推荐 执行 ,这 将 对 我 国安 全 操作 系统 研究 与 开发 产 
生 进 一 步 的 影响 。 


”下 4 相关 术语 


以 下 列举 一 些 重要 的 .有关 操作 系统 安全 的 术语 定义 。 

计算 机 信息 系统 (Computer Information System): 由 计算 机 及 其 相关 和 配套 的 设 
备 、 设 施 ( 含 网 络 ) 构 成 的 ,按照 一 定 的 应 用 目标 和 规则 对 信息 进行 采集 、 加 工 、 存 储 、 传 输 、 
检索 等 处 理 的 人 机 系统 。 

安全 边界 (Security Perimeter) : 用 半径 来 表示 的 空间 。 该 空间 包围 着 用 于 处 理 敏感 
信息 的 设备 ,并 在 有 效 的 物理 和 技术 的 控制 之 下 ,防止 未 授权 的 进入 或 敏感 信息 的 泄露 。 

可 信 计 算 基 (Trusted Computing Base,TCB): 计算 机 系统 内 保护 装置 的 总 体 , 包 括 
硬件 .固件 .软件 和 负责 执行 安全 策略 的 组 合体 。 它 建立 了 一 个 基本 的 保护 环境 并 提供 一 
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个 可 信 计 算 系 统 所 要 求 的 附加 用 户 服务 。 
安全 策略 (security policy): 对 TCB 中 的 资源 进行 管理 ,保护 和 分 配 的 一 组 规则 。 简 
单 地 说 就 是 用 户 对 安全 要 求 的 描述 。 一 个 TCB 中 可 以 有 一 个 或 多 个 安全 策略 。 
安全 模型 (security model) : 用 形式 化 的 方法 来 描述 如 何 实现 系统 的 机 密 性 、 完 整 性 
和 可 用 性 等 安全 要 求 。 
客体 (object) : 系统 中 被 动 的 主体 行为 承担 者 。 对 一 个 客体 的 访问 隐 含 着 对 其 包含 
信息 的 访问 。 客 体 的 实体 类 型 有 记录 \ 程 序 块 、 页 面 . 段 文件. 目录、 目录 树 和 程序 ,还 有 
位 . 字 节 字 、 字 段 、 处 理 器 .视频 显示 器 、 键 盘 时钟. 打印 机 和 网 络 结 点 等 。 
主体 (subject) 是 这 样 的 一 种 实体 , 它 引起 信息 在 客体 之 间 的 流动 。 通 常 ,这 些 实体 
是 指 人 、 进 程 或 设备 等 ,一般 是 代表 用 户 执行 操作 的 进程 。 如 编辑 一 个 文件 ,编辑 进程 是 
存 取 文件 的 主体 ,而 文件 是 客体 。 
引用 监控 器 (reference monitor): 监督 主体 和 客体 之 间 授 权 访 问 关系 的 部 件 。 
安全 内 核 (security kernel) : 通过 控制 对 系统 资源 的 访问 来 实现 基本 安全 规程 的 计 
算 机 系统 的 中 心 部 分 。 
标识 与 鉴别 (Identification &. Authentication,I&A): 用 于 保证 只 有 合法 用 户 才能 进 
人 系统 ,进而 访问 系统 中 的 资源 。 
访问 控制 (access control) : 限制 已 授权 的 用 户 程序、 进程 或 计算 机 网 络 中 其 他 系统 
访问 本 系统 资源 的 过 程 。 
访问 控制 列表 (Access Control List,ACL): 与 系统 中 客体 相 联 系 的 ,用 来 指定 系统 
中 哪些 用 户 和 组 可 以 以 何 种 模式 访问 该 客体 的 控制 列表 。 
自主 访问 控制 (Discretionary Access Control,DAC) : 用 来 决定 一 个 用 户 是 否 有 权限 
访问 此 客体 的 一 种 访问 约 东 机 制 ,该 客体 的 所 有 者 可 以 按照 自己 的 意愿 指定 系统 中 的 其 
他 用 户 对 此 客体 的 访问 权 。 
敏感 标记 (sensitivity label) : 用 来 表示 客体 安全 级 别 并 描述 客体 数据 敏感 性 的 一 组 
信息 ,在 可 信 计 算 基 中 把 敏感 标记 作为 强制 访问 控制 决策 的 依据 。 
强制 访问 控制 (Mandatory Access Control,MAC) : 用 于 将 系统 中 的 信息 分 密级 和 类 
进行 管理 ,以 保证 每 个 用 户 只 能 够 访问 那些 被 标明 可 以 由 他 访问 的 信息 的 一 种 访问 约束 
机 制 。 
角色 (role) : 系统 中 一 类 访问 权限 的 集合 。 
最 小 特权 原则 (least privilege principle) : 系统 中 每 一 个 主体 只 能 拥有 和 其 操作 相符 
的 所 要 求 的 必需 的 最 小 特权 集 。 
隐蔽 通道 (covert channel) : 允许 进程 以 违背 系统 安全 策略 的 方式 传输 信息 的 通信 信 
道 。 
审计 (Caudit) : 一 个 系统 的 审计 就 是 对 系统 中 有 关 安 全 的 活动 进行 记录 、 检 查 及 审核 。 
审计 跟踪 (audit trail) : 系统 活动 的 流水 记录 。 该 记录 按 事件 从 始 至 终 的 途径 .顺序 ， 
审查 和 检验 每 个 事件 的 环境 及 活动 。 
客体 重用 (object reuse) : 对 曾经 包含 一 个 或 几 个 客体 的 存储 介质 (如 页 、 扇 区 、 磁 带 ) 
重新 分 配 和 重用 。 为 了 安全 进行 重 分 配 .重用 ,要 求 介质 不 得 包含 重 分 配 前 的 残留 数据 。 
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可 信 通 路 (trusted path) : 终端 人 员 能 借以 直接 同 可 信 计 算 基 通信 的 一 种 机 制 。 该 机 
制 只 能 由 有 关 终 端 操作 人 员 或 可 信 计 算 基 启动 ,并 且 不 能 被 不 可 信 软 件 模仿 。 
多 级 安全 (MultiLevel Secure, MLS) : 一 类 包含 不 同等 级 敏感 信息 的 系统 , 它 既 可 供 
具有 不 同安 全 许可 的 用 户 同时 进行 合法 访问 ,又 能 阻止 用 户 去 访问 其 未 被 授权 的 信息 。 
鉴别 (authentication) : 验证 用 户 、 设 备 和 其 他 实体 的 身份 ,验证 数据 的 完整 性 。 
授权 (authorization) : 授予 用 户 程序 或 进程 的 访问 权 。 
机 密 性 (confidentiality) : 为 秘密 数据 提供 保护 方法 及 保护 等 级 的 一 种 特性 。 
数据 完整 性 (data integrity) : 信息 系统 中 的 数据 与 原始 数据 没有 发 生变 化 ,未 遭受 
偶然 或 恶意 的 修改 或 破坏 时 所 具有 的 性 质 。 
漏洞 (loophole) : 由 软 硬 件 的 设计 玖 忽 或 漏洞 导致 的 ,能 避 开 系统 的 安全 措施 的 一 类 
错误 。 
安全 配置 管理 (secure configuration management) : 控制 系统 硬件 与 软件 结构 更 改 的 
一 组 规程 ,其 目的 是 保证 这 种 更 改 不 违反 系统 的 安全 策略 。 
安全 要 素 (security element) : 国标 GB 17859 一 1999 中 ,各 安全 等 级 所 包含 的 安全 内 
容 的 组 成 成 分 ,比如 自主 访问 控制 .强制 访问 控制 等 。 每 一 个 安全 要 素 在 不 同 的 安全 等 级 
中 可 以 有 不 同 的 具体 内 容 。 
安全 功能 (security function) : 为 实现 安全 要 素 的 内 容 , 正 确实 施 相 应 安全 策略 所 提 
供 的 功能 。 
安全 保证 (security assurance); 为 确保 安全 要 素 的 安全 功能 的 实现 所 采取 的 方法 和 
措施 。 
TCB 安全 功能 (TCB Security Function, TSF): 正确 实施 TCB 安全 策略 的 全 部 硬 
件 、 固 件 、 软 件 所 提供 的 功能 。 每 一 个 安全 策略 的 实现 ,组 成 一 个 安全 功能 模块 。 一 个 
TCB 的 所 有 安全 功能 模块 共同 组 成 该 TCB 的 安全 功能 。 在 跨 网 络 的 TCB 中 ,一 个 安全 
策略 的 安全 功能 模块 ,可 能 会 在 网 络 环境 下 实现 。 
可 信 计 算 机 系统 (trusted computer system) : 一 个 使 用 足够 的 硬件 和 软件 完整 性 机 
制 ,能够 用 来 同时 处 理 大 量 敏感 或 分 类 信息 的 系统 。 
操作 系统 安全 (operating system security) : 操作 系统 无 错误 配置 .无 漏洞 .无 后 门 、 
无 特洛伊 木马 等 ,能 防止 非法 用 户 对 计算 机 资源 的 非法 存 取 , 一 般 用 来 表达 对 操作 系统 的 
安全 需求 。 
操作 系统 的 安全 性 (security of operating system) : 操作 系统 具有 或 应 具有 的 安全 功 
能 ,比如 存储 保护 .运行 保护 .标识 与 鉴别 .安全 审计 等 。 
安全 操作 系统 (secure operating system) : 能 对 所 管理 的 数据 与 资源 提供 适当 的 保护 
级 有效 地 控制 硬件 与 软件 功能 的 操作 系统 。 就 安全 操作 系统 的 形成 方式 而 言 ,一 种 是 从 
系统 开始 设计 时 就 充分 考虑 到 系统 的 安全 性 的 安全 设计 方式 。 另 一 种 是 基于 一 个 通用 的 
操作 系统 ,专门 进行 安全 性 改进 或 增强 的 安全 增强 方式 。 安 全 操作 系统 在 开发 完成 后 ,在 
正式 投入 使 用 之 前 一 般 都 要 求 通过 相应 的 安全 性 评测 。 
多 级 安全 操作 系统 (multilevel secure operating system) : 实现 了 多 级 安全 策略 的 安 
全 操作 系统 ,比如 符合 美国 橘 皮 书 (TCSEC)B1 级 以 上 的 安全 操作 系统 。 
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本 书 共 分 12 章 。 第 1 章 是 引言 ,介绍 了 操作 系统 所 面临 的 安全 威胁 ,安全 操作 系统 
的 发 展 状 况 ,以 及 与 操作 系统 安全 有 关 的 若干 重要 术语 定义 。 第 2 章 进一步 选取 安全 操 
作 系 统 中 涉及 的 几 个 重要 基本 概念 ,包括 系统 边界 与 安全 周 界 、 安 全 功能 与 安全 保证 、 可 
信和 软件 与 不 可 信和 软件 、 主 体 与 客体 、 安 全 策略 和 安全 模型 .访问 监控 器 和 安全 内 核 `. 可 信 计 
算 基 等 ,做 了 进一步 介绍 ,这 些 概念 是 对 第 1 章 给 出 的 操作 系统 安全 相关 术语 的 补充 或 拓 
展 。 第 3 章 集中 介绍 了 安全 操作 系统 的 安全 机 制 ,包括 硬件 安全 机 制 , 标 识 与 鉴别 ,自主 
访问 控制 .强制 访问 控制 .最 小 特权 管理 .可 信 路 径 、 安 全 审计 等 ,同时 还 举例 介绍 了 
UNIX 或 Linux 系统 的 现 有 安全 机 制 。 第 4 章 系统 地 介绍 了 安全 模型 ,特别 是 一 些 重 要 
的 或 有 代表 性 的 模型 ,例如 机 密 性 模型 -BLP 模型 ,完整 性 模型 -BiBa 模型 .Clark-Wilson 
模型 ,多 策略 安全 模型 -中 国 墙 模 型 .RBAC 模型 和 DTE 模型 ,安全 分 析 模 型 -信息 流 模 
型 无 干扰 模型 等 ,本 章 还 对 安全 模型 的 设计 做 了 讨论 。 第 5 章 指出 了 安全 体系 在 安全 内 
核 设计 中 的 重要 性 ,分 析 了 安全 体系 的 基本 内 涵 , 并 详细 地 分 析 了 安全 体系 设计 的 基本 原 
则 ,深入 分 析 了 目前 非常 著名 的 Flask 安全 体系 和 权能 体系 ,并 给 出 了 支持 Flask 体系 的 
Linux 安全 框架 LSM 的 设计 与 实现 方法 。 在 操作 系统 设计 中 采用 形式 化 程序 规范 和 验 
证 技术 是 研制 高 安全 等 级 安全 操作 系统 的 一 个 必要 的 保障 手段 ,因此 在 第 6 章 主要 介绍 
了 与 安全 操作 系统 设计 相关 的 形式 化 验证 技术 原理 及 其 应 用 。 第 7 章 系统 而 深入 地 介绍 
了 隐蔽 信道 的 概念 和 分 析 技 术 。 第 8 章 从 一 般 性 的 角度 讨论 了 安全 操作 系统 的 设计 原则 
与 一 般 结构 、 开 发 方法 、 开 发 过 程 以 及 开发 中 需要 注意 的 问题 ,并 代表 性 地 举例 说 明了 安 
全 性 改进 增强 的 安全 操作 系统 .系统 安全 体系 .安全 模块 等 的 实际 设计 实例 。 第 9 章 的 内 
容 涉及 操作 系统 的 安全 评测 ,包括 操作 系统 安全 评测 的 基础 、 操 作 系 统 安 全 评测 的 方法 、 
操作 系统 安全 评测 的 准则 、 国 内 外 著名 的 安全 操作 系统 评测 标准 介绍 等 。 第 10 章 着 眼 于 
安全 网 络 系统 , 它 是 安全 操作 系统 的 基本 概念 在 网 络 上 的 扩展 和 应 用 。 第 11 章 帮助 读者 
理解 可 信 计 算 的 概念 和 技术 ,了 解 基于 TPM/TCM 硬件 支持 的 可 信 操 作 系 统 的 核心 技术 
及 其 发 展 趋势 。 第 12 章 重 点 讨论 以 安全 设计 为 核心 的 现代 PC 操作 系统 ,如 Windows 
Vista、Windows 7 和 Sun Solaris, 讨论 近年 来 出 现 的 基于 浏览 器 的 虚拟 操作 系统 Web 
OS 及 其 安全 问题 ,以 及 面向 云 计算 新 兴 概 念 的 未 来 云 操作 系统 Google Chrome OS 和 
Windows Azure 的 设计 与 安全 性 需求 。 


1.6 ”本 章 小 结 


本 章 从 操作 系统 面临 的 安全 威胁 着 手 ,分 析 了 操作 系统 安全 在 计算 机 信息 系统 的 整 

体 安全 性 中 的 重要 性 。AT&T 实验 室 的 S. Bellovin 博士 通过 对 美国 CERT 提供 的 安全 

报告 的 分 析 , 也 说 明了 信息 系统 的 很 多 安全 问题 都 源 于 操作 系统 的 安全 脆弱 性 。 因 此 可 
以 说 离开 操作 系统 的 安全 支持 ,信息 系统 的 安全 是 没有 基础 的 。 

13 


国外 ,特别 是 美国 ,从 20 世纪 六 七 十 年 代 就 开始 了 安全 操作 系统 方面 的 研究 ,并 先后 
分 别 开 发 完成 了 符合 美国 TCSEC 标准 BB 类 及 A 类 的 安全 操作 系统 。 近 十 年 来 ,我 国 逐 
步 开展 了 安全 操作 系统 的 研究 和 设计 工作 ,也 取得 工作 一 定 的 成 果 。 国 家 技术 监督 局 也 
先后 发 布 了 与 美国 橘 皮 书 相对 应 的 国标 GB 17859 一 1999, 与 国际 通用 标准 CC 基本 等 同 
的 国标 GB/T 18336 一 2001。 它 们 都 对 我 国安 全 操作 系统 研究 起 到 了 极 大 的 促进 作用 。 

从 操作 系统 安全 的 研究 发 展 过 程 可 以 看 出 ,安全 操作 系统 的 基本 思想 、 理 论 .技术 和 
方法 是 逐步 建立 起 来 的 ,并 具有 很 好 的 继承 性 。 操 作 系 统 安全 相关 的 术语 也 是 在 这 个 发 
展 的 过 程 中 逐步 形成 和 统一 的 。 


1.7 ”习题 


. 安全 性 与 操作 系统 之 间 的 关系 是 怎样 的 ? 

.从 操作 系统 安全 的 角度 如 何 理解 计算 机 恶意 代码 ,病毒 ,特洛伊 木马 之 间 的 关系 ? 
. 从 操作 系统 面临 的 安全 威胁 看 ,密码 服务 与 操作 系统 安全 功能 之 间 的 关系 如 何 ? 

. 简 述 操作 系统 安全 和 信息 系统 安全 之 间 的 关系 。 

. 简 述 安全 操作 系统 研究 的 主要 发 展 过 程 。 

. Linux 自由 软件 的 广泛 流行 为 什么 会 对 我 国安 全 操作 系统 的 研究 与 开发 具有 积 
极 的 推进 作用 ? 


Do 
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第 2 重 


基本 概念 


2.1 ”系统 边界 与 安全 周 界 


一 个 系统 是 指 开发 者 实施 某 种 控制 的 计算 和 通信 环境 的 全 体 。 系 统 内 部 所 有 的 东西 
由 系统 来 保护 ,系统 之 外 的 东西 不 受 其 保护 “系统 ”的 定义 应 与 其 特定 的 应 用 环境 相关 。 
在 打算 建立 安全 性 时 ,必须 首先 建立 清晰 的 “系统 边界 ”, 并 定义 该 系统 应 该 抵制 的 来 自 外 
界 (边界 之 外 ) 的 威胁 。 如 果 不 清楚 这 些 威胁 ,将 无 法 构造 清晰 的 安全 环境 。 

确定 系统 边界 需要 准确 地 规范 系统 和 外 界 的 接口 。 外 部 安全 控制 实施 于 这 些 接口 ; 
只 要 这 些 控制 到 位 ,内 部 控制 就 可 以 保护 系统 内 部 信息 免 受 特定 的 威胁 。 但 是 ,一 旦 发 生 
绕 过 外 部 控制 并 进入 系统 的 事情 ,或 者 系统 以 非 预 期 方式 受到 来 自 外 界 的 威胁 ,这 一 切 就 
都 白费 了 。 

例如 ,一 个 用 户 可 能 走 进 机 房 并 在 系统 控制 台 上 输入 命令 ,或 者 系统 管理 员 可 能 将 口 
令 泄露 给 外 部 人 员 。 这 些 都 是 外 部 控制 所 不 能 防备 的 。 但 是 ,通过 未 授权 的 终端 .调制 解 
调 器 或 者 远程 访问 系统 的 用 户 实施 的 非法 入 侵 是 可 以 抵制 的 ,可 以 根据 系统 接口 规则 对 
非法 用 户 进入 系统 进行 限制 。 

系统 内 部 组 件 有 两 种 : 负责 维护 系统 安全 (或 者 安全 相关 ) 的 部 分 和 所 有 其 他 部 分 ， 
由 这 些 安全 相关 的 组 件 实现 内 部 控制 。 分 离 两 种 类 型 的 组 件 的 是 一 种 假想 的 边界 , 称 为 
安全 周 界 。 安 全 周 界 内 的 所 有 组 件 的 属性 必须 被 精确 定义 ,因为 任何 一 个 发 生 故 障 都 可 
能 导致 安全 背离 ;相反 ,安全 周 界 外 部 组 件 的 属性 是 相当 随意 的 , 仅 实施 通过 系统 边界 进 
入 系统 时 的 限制 。 但 安全 周 界 内 的 故障 会 产生 扩大 安全 周 界 到 系统 边界 的 影响 ,导致 以 
前 是 周 界 外 的 组 件 被 误 认 为 是 安全 相关 的 。 
正如 在 系统 边界 上 必须 有 严格 的 接口 被 标识 一 样 , 在 安全 周 界 上 也 必须 有 良好 定义 
的 接口 。 这 个 接口 由 安全 相关 组 件 实施 控制 。 例 如 ,操作 系统 的 系统 调用 可 以 看 成 安全 
周 界 的 接口 。 只 要 外 部 实施 了 系统 边界 ,安全 周 界 就 由 安全 相关 组 件 来 维护 。 为 了 实现 
安全 周 界 内 的 组 件 , 必 须 定 义 一 套 完备 的 一致 的 .可 实施 的 边界 接口 规则 。 


2.2 ”安全 功能 与 安全 保证 


操作 系统 产品 的 安全 性 涉及 两 个 重要 因素 : 产品 所 能 提供 的 安全 功能 和 安全 功能 的 
确信 度 。 不 同 的 安全 产品 所 能 提供 的 安全 功能 可 能 不 同 ,另外 同样 的 安全 功能 ,可 能 有 不 
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同 的 安全 确信 和 度 。 

在 把 符合 某 个 安全 评价 体系 (准则 ) 所 规定 的 特定 安全 等 级 作为 开发 目标 的 系统 中 ， 
安全 功能 主要 说 明 操作 系统 所 实现 的 安全 策略 和 安全 机 制 符 合 评价 准则 中 哪 一 级 的 功能 
要 求 。 而 安全 保证 (又 称 安全 保障 ) 则 是 通过 一 定 的 方法 保证 操作 系统 所 提供 的 安全 功能 
确实 达到 了 确定 的 功能 要 求 , 它 可 以 从 系统 的 设计 和 实现 .自身 安全 、 安 全 管理 等 方面 进 
行 描述 ,也 可 以 借助 配置 管理 .发行 与 使 用 .开发 和 指南 文档 .生命 周期 支持 、 测 试 和 脆弱 
性 评估 等 方面 所 采取 的 措施 来 确立 产品 的 安全 确信 和 度 。 因 此 ,一 个 安全 操作 系统 ,无 论 其 
安全 等 级 达到 评价 准则 所 规定 的 哪 一 级 ,都 要 从 安全 功能 和 安全 保证 两 方面 考虑 其 安全 
性 。 这 就 要 求 在 设计 一 个 安全 操作 系统 时 ,首先 要 按照 安全 需求 分 析 确 定 总 体 安全 应 达 
到 的 安全 保护 等 级 ,然后 再 进一步 明确 该 安全 保护 等 级 所 规定 的 安全 功能 和 安全 保证 的 
要 求 。 

对 于 面向 威胁 的 ,不 把 追求 评价 准则 的 安全 等 级 作为 开发 目标 的 操作 系统 ,安全 功能 
重点 在 于 说 明 该 系统 为 抵御 威胁 所 应 实现 的 安全 策略 和 安全 机 制 的 功能 要 求 ;安全 保证 
则 同样 是 通过 一 定 的 方法 保证 操作 系统 所 提供 的 安全 功能 确实 达到 了 确定 的 功能 要 求 。 
因此 ,面向 威胁 的 安全 系统 设计 也 应 该 从 安全 功能 和 安全 保证 两 方面 进行 考虑 。 

从 安全 功能 和 安全 保证 在 安全 评价 准则 中 的 组 织 方式 来 看 ,美国 TCSEC 是 将 安全 
功能 和 安全 保证 (有 的 文档 又 称 安全 保障 ) 合 在 一 起 ,共同 将 计算 机 信息 系统 安全 保护 能 
力 从 低 到 高 ,划分 为 D.C、B、A 四 类 ,D.C1、C2、B1、B2、B3 和 Al 七 级 ;美国 国家 标准 与 技 
术 协 会 和 国家 安全 局 联合 开发 的 联邦 标准 以 及 欧洲 的 ITSEC 标准 , 则 是 把 安全 特性 与 保 
障 能 力 分 离 成 两 个 独立 的 部 分 :美加 英法. 德 . 荷 等 六 国 的 七 个 组 织 联合 开发 的 公共 准 
则 CC 标准 也 采用 安全 功能 与 安全 保证 相 独 立 的 理念 , 即 把 一 个 计算 机 安全 产品 应 该 具 
有 的 安全 特性 与 为 确保 这 些 安全 特性 的 正确 实现 而 采取 的 安全 措施 作为 两 个 独立 的 内 容 
进行 分 别 对 待 。 

我 国 的 GB 17859 一 1999 的 制定 主要 是 参考 了 美国 橘 皮 书 TCSEC 和 红皮书 (NCSC- 
TG-005), 同 TCSEC 一 样 ,也 是 将 安全 功能 与 安全 保证 合 在 一 起 ,共同 对 安全 产品 进行 要 
求 和 评价 ,但 安全 保证 方面 的 要 求 不 太 明 显 。GB/T 18336 一 2001 则 等 同 采用 了 国际 标 
准 CC, 自 然 也 是 将 安全 功能 与 安全 保证 独立 开 来 ,分 别 要 求 。 因 此 从 一 定 程 度 上 来 讲 ， 
GB 17859 主要 对 安全 功能 进行 了 要 求 ,GB/T 18336 则 把 安全 保证 作为 独立 的 一 部 分 进 
行 要 求 和 评测 。 


23 ”可 信和 软件 与 不 可 信和 软件 


在 讨论 操作 系统 安全 时 ,首先 必须 确信 拥有 一 份 数据 或 生成 这 份 数据 的 用 户 不 会 将 
该 数据 泄露 给 不 应 看 到 它 的 其 他 用 户 ,或 对 它 进 行 不 适当 的 修改 。 至 于 用 户 也 许 会 对 他 
的 数据 处 理 不 当 , 这 是 另外 的 问题 。 信 息 的 拥有 者 若 想 泄 密 , 计 算 机 是 无 能 为 力 的 ,因为 
他 只 要 能 够 读 出 文件 ,就 能 将 文件 提供 给 别人 。 这 就 要 求 我 们 必须 无 条 件 相信 用 户 能 
保护 他 们 已 存 取 的 数据 ,但 是 不 能 信任 他 们 所 运行 的 计算 机 程序 。 一 般 来 说 ,软件 可 以 分 
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为 三 大 可 信 类 别 : 
(1) 可 信 的 一 一 软件 保证 能 安全 运行 ,并 且 后 来 系统 的 安全 也 依赖 于 软件 的 无 错 
操作 。 


(2) 良性 的 一 一 软件 并 不 确保 安全 运行 ,但 由 于 使 用 了 特权 或 对 敏感 信息 的 存 取 权 ， 
因而 必须 确信 它 不 会 有 意 地 违反 规则 。 良 性 软件 的 错误 被 视 作 偶然 性 的 ,而 且 这 类 错误 
不 会 影响 系统 的 安全 。 

(3) 恶意 的 一 一 软件 来 源 不 明 , 从 安全 的 角度 出 发 ,该 软件 必须 被 当做 恶意 的 ,认为 
将 对 系统 进行 破坏 。 

日 常 应 用 的 多 数 软件 是 良性 的 ,不 论 该 软件 是 由 优秀 的 程序 员 或 者 由 不 合格 的 程序 
员 编 写 的 ,也 不 论 该 软件 是 系统 程序 还 是 应 用 程序 。 所 有 这 种 软件 都 是 不 可 信和 的 ,因为 它 
不 能 保证 系统 的 安全 运行 : 但 它们 又 不 是 恶意 的 ,因为 它 并 不 有 意 欺 骗 用 户 。 

系统 内 有 一 条 将 恶意 程序 与 有 错 的 良性 程序 分 开 的 细微 界限 : 有 错 的 良性 程序 不 会 
泄露 或 者 破坏 数据 ,但 是 不 能 保证 它 偶尔 与 恶意 程序 有 同样 的 不 良 效果 。 由 于 没有 一 个 
客观 的 方法 度量 两 者 间 的 这 种 差异 ,因此 经 常 把 良性 和 恶意 软件 归 为 同一 类 , 即 不 可 信 软 
件 。 在 处 理 异常 敏感 信息 的 环境 中 这 种 看 法 特别 普遍 ,而 且 这 还 是 构建 安全 系统 的 安全 
内 核 方法 的 一 条 基本 原则 。 

在 大 多 数 情况 下 认为 操作 系统 是 可 信 的 ,而 用 户 程序 和 应 用 程序 则 是 不 可 信 的 。 因 
此 在 系统 设计 时 不 能 允许 不 可 信 软 件 破坏 操作 系统 ,即使 软件 变 为 恶意 时 也 不 能 破坏 操 
作 系 统 。 有 些 系统 是 当 操作 系统 的 重要 部 分 不 可 信和 时 仍 是 安全 的 ,但 多 数 系统 仅 当 整个 
操作 系统 和 操作 系统 外 围 的 大 量 软件 可 信和 时 才 是 安全 的 。 

因此 当 谈 到 安全 操作 系统 内 的 可 信和 软件 时 ,通常 是 指 首先 由 可 信人 员 根 据 严 格 的 标 
准 开发 出 来 ,然后 通过 先进 的 软件 工程 技术 (例如 形式 化 模型 设计 与 验证 ) 证 明了 的 软件 。 
可 信和 软件 只 是 安全 相关 的 ,并 且 位 于 安全 周 界 内 的 那 部 分 ,这 部 分 的 故障 会 对 系统 安全 造 
成 不 利 影响 。 不 可 信和 软件 与 安全 无 关 , 且 位 于 安全 周 界 之 外 : 这 些 软 件 对 维持 系统 的 运 
行 也 许 是 必须 的 ,但 不 能 破坏 系统 的 安全 。 


_[ 国 | 。 主体 与 客体 


在 一 个 操作 系统 中 ,每 一 个 实体 组 件 都 必须 或 者 是 主体 ,或 者 是 客体 ,或 者 既是 主体 

又 是 客体 。 
主体 是 一 个 主动 的 实体 , 它 包 括 用 户 、 用 户 组 、 进 程 等 。 系 统 中 最 基本 的 主体 应 该 
是 用 户 ( 包 括 一 般 用 户 和 系统 管理 员 、 系 统 安全 员 、 系 统 审计 员 等 特殊 用 户 )。 每 个 进 
入 系统 的 用 户 必须 是 唯一 标识 的 ,并 经 过 鉴别 确定 为 真实 的 。 系 统 中 的 所 有 事件 要 
求 ,几乎 全 是 由 用 户 激 发 的 。 进 程 是 系统 中 最 活跃 的 实体 ,用 户 的 所 有 事件 要 求 都 要 
通过 进程 的 运行 来 处 理 。 在 这 里 ,进程 作为 用 户 的 客体 ,同时 又 是 其 访问 对 象 的 主体 。 
操作 系统 进程 一 般 分 为 用 户 进程 和 系统 进程 。 用 户 进程 通常 运行 应 用 程序 ,实现 用 户 
所 要 求 的 运算 处 理 ; 系 统 进程 则 是 操作 系统 完成 对 用 户 所 要 求 的 事件 进行 处 理 的 必 不 
公 
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可 少 的 组 成 部 分 。 

客体 是 一 个 被 动 的 实体 。 在 操作 系统 中 ,客体 可 以 是 按照 一 定格 式 存储 在 一 定 记录 
介质 上 的 数据 信息 (通常 以 文件 系统 格式 存储 数据 ) ,也 可 以 是 操作 系统 中 的 进程 。 操 作 
系统 中 的 进程 (包括 用 户 进程 和 系统 进程 ) 一 般 有 着 双重 身份 。 当 一 个 进程 运行 时 , 它 必 
定 为 某 一 用 户 服务 一 一 直接 或 间接 的 处 理 该 用 户 的 事件 要 求 。 于 是 ,该 进程 成 为 该 用 户 
的 客体 ,或 为 另 一 进程 的 客体 (这 时 另 一 进程 则 是 该 用 户 的 客体 )。 依 此 类 推 ,操作 系统 中 
运行 的 任 一 进程 ,总 是 直接 或 间接 为 某 一 用 户 服务 。 这 种 服务 关系 可 以 构成 一 个 服务 链 。 
服务 者 是 要 求 者 的 客体 ,要 求 者 是 服务 者 的 主体 ,而 最 原始 的 主体 是 用 户 ,最终 的 客体 是 
一 定 记录 介质 上 的 信息 (数据 )。 

用 户 进程 是 固定 为 某 一 用 户 服务 的 , 它 在 运行 中 代表 该 用 户 对 客体 资源 进行 访问 ， 
其 权限 应 与 所 代表 的 用 户 相同 (通过 用 户 -主体 绑 定 实现 )。 系 统 进程 是 动态 的 为 所 有 
用 户 提供 服务 的 ,因而 它 的 权限 是 随 着 服务 对 象 的 变化 而 变化 的 ,这 就 需要 将 用 户 的 
权限 与 为 其 服务 的 进程 的 权限 动态 地 相关 联 (通过 用 户 -主体 绑 定 实现 )。 当 一 个 系统 
进程 与 一 个 特定 的 用 户 相关 联 时 ,这 个 系统 进程 在 运行 中 就 代表 该 用 户 对 客体 资源 进 
行 访问 。 


”2.5 安全 策略 和 安全 模型 


安全 策略 与 安全 模型 是 计算 机 安全 理论 中 容易 相互 混淆 的 两 个 概念 。 

安全 策略 是 指 有 关 管 理 \ 保 护 和 发 布 敏 感 信息 的 法 律 、 规 定 和 实施 细则 。 例 如 ,可 以 
将 安全 策略 定 为 : ea 一 些 级 别 比 另 一 些 级 别 高 ; 
而 且 如 果 主 体能 读 访问 客体 , 当 且 仅 当 主体 的 级 别 高 于 或 等 于 客体 的 级 别 ;如 果 主 体能 写 
tote 

一 个 操作 系统 是 安全 的 ,是 指 它 满足 某 一 给 定 的 安全 策略 。 同 样 进行 安全 操作 系 

es 也 要 围绕 一 个 给 定 的 安全 策略 进行 。 安 全 策略 由 一 整套 严密 的 规则 
组 成 ,这 些 确 定 授权 存 取 的 规则 是 决定 存 取 控制 的 基础 。 许 多 系统 的 安全 控制 遭 到 失败 ， 
主要 不 是 因为 程序 错误 ,而 是 没有 明确 的 安全 策略 。 

安全 模型 则 是 对 安全 策略 所 表达 的 安全 需求 的 简单 .抽象 和 无 歧义 的 描述 , 它 为 安全 
策略 和 安全 策略 实现 机 制 的 关联 提供 了 一 种 框架 。 安 全 模型 描述 了 对 某 个 安全 策略 需要 
用 哪 种 机 制 来 满足 ;而 模型 的 实现 则 描述 了 如 何 把 特定 的 机 制 应 用 于 系统 中 ,从 而 实现 某 
一 特定 安全 策略 所 需 的 安全 保护 。 

J.P. Anderson 指出 要 开发 安全 系统 首先 必须 建立 系统 的 安全 模型 。 安 全 模型 给 出 
了 安全 系统 的 形式 化 定义 ,并 且 正 确 地 综合 系统 的 各 类 因素 。 这 些 因 素 包 括 系统 的 使 用 
方式 、 使 用 环境 类 型 .授权 的 定义 、 共 享 的 客体 (系统 资源 ) .共享 的 类 型 和 受 控 共享 思想 
等 。 构 成 安全 系统 的 形式 化 抽象 描述 ,使 得 系统 可 以 被 证 明 是 完整 的 .反映 真实 环境 的 、 
人 逻辑 上 能 够 实现 程序 的 受 控 执行 的 。 
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261 访问 控制 矩阵 


1969 年 ,B. W. Lampson 通过 形式 化 表示 方法 运用 主体 (subject) .客体 (object) 和 
访问 矩阵 (access matrix) 的 思想 第 一 次 对 访问 控制 问题 进行 了 抽象 。 在 一 个 操作 系统 
中 ,每 一 个 实体 组 件 都 必须 或 者 是 主体 ,或 者 是 客体 ,或 者 既是 主体 又 是 客体 。 访 问 和 矩阵 
是 以 主体 为 行 索引 、 以 客体 为 列 索引 的 憩 阵 ,矩阵 中 的 每 一 个 元 素 表示 一 组 访问 模式 ,是 
若干 访问 模式 的 集合 。 和 矩阵 中 第 i 行 第 j 列 的 元 素 Mi 记录 着 第 ;个 主体 S; 可 以 执行 的 
对 第 j 个 客体 0; 的 访问 模式 ,例如 Mi 等 于 {read，write} 表 示 S; 可 以 对 0; 进行 读 和 写 
访问 。 


262 引用 监控 器 


访问 控制 机 制 的 理论 基础 是 引用 监控 器 (Reference Monitor), 由 J.P. Anderson 于 
1972 年 首次 提出 ,1996 年 ,D. B. Baker 则 再 次 强调 其 重要 性 。 

引用 监控 器 是 一 个 抽象 概念 , 它 表现 的 是 一 种 思想 。J. P. Anderson 把 引用 监控 器 的 
具体 实现 称 为 引用 验证 机 制 , 它 是 实现 引用 监控 器 思想 的 硬件 和 软件 的 组 合 , 如 图 2-1 所 
示 。 安 全 策略 所 要 求 的 访问 判定 以 抽象 访问 控制 数据 库 中 的 信息 为 依据 ,访问 判定 是 安 
全 策略 的 具体 表现 。 访 问 控制 数据 库 包 含有 关 由 主体 访问 客体 及 其 访问 模式 的 信息 。 数 
据 库 是 动态 的 , 它 随 着 主体 和 客体 的 产生 或 删除 及 其 权限 的 修改 而 改变 。 引 用 监控 器 的 
关键 需求 是 控制 从 主体 到 客体 的 每 一 次 访问 ,并 将 重要 的 安全 事件 存 人 审计 文件 中 。 


访问 控制 数据 库 
人 
了 


主体 | 一 一 | 引用 监控 甸 | 一 一 | 客体 


审计 


图 2-1 引用 监控 器 


引用 验证 机 制 需 要 同时 满足 以 下 三 个 原则 : 

(1) 必须 具有 自我 保护 能 力 ; 

(2) 必须 总 是 处 于 活跃 状态 ; 

(3) 必须 设计 得 足够 小 ,以 利于 分 析 和 测试 ,从 而 能 够 证 明 它 的 实现 是 正确 的 。 

第 一 个 原则 保证 引用 验证 机 制 即 使 受到 攻击 也 能 保持 自身 的 完整 性 。 第 二 个 原则 保 
证 程序 对 资源 的 所 有 引用 都 应 得 到 引用 验证 机 制 的 仲裁 。 第 三 个 原则 保证 引用 验证 机 制 
的 实现 是 正确 的 和 符合 要 求 的 。 
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263 安全 内 核 


在 引用 监控 器 思想 的 基础 上 :,J.P. Anderson 定义 了 安全 内 核 的 概念 。 安 全 内 核 是 指 
系统 中 与 安全 性 实现 有 关 的 部 分 ,包括 引用 验证 机 制 \ 访 问 控制 机 制 . 授 权 机 制 和 授权 管 
理 机 制 等 部 分 。 因 此 ,一 般 情况 下 人 们 趋向 于 把 引用 监控 器 的 概念 和 安全 内 核 方 法 等 同 
起 来 。 

操作 系统 的 安全 性 可 以 通过 多 种 方法 改进 ,并 不 一 定 需要 从 根本 上 改变 原 有 操作 系 
统 的 体系 结构 。 如 果 必 须要 从 头 开始 建立 一 个 安全 的 操作 系统 ,就 应 当 有 严密 的 开发 策 
略 和 特殊 的 系统 体系 结构 。 安 全 内 核 方法 是 一 种 最 常用 的 建立 安全 操作 系统 的 方法 ,可 
以 避免 通常 设计 中 国有 的 安全 问题 。 安 全 内 核 方 法 以 指导 设计 和 开发 的 一 系列 严格 的 原 
则 为 基础 ,能 够 极 大 地 提高 用 户 对 系统 安全 控制 的 信任 度 。 

安全 内 核 是 实现 引用 监控 器 概念 的 一 种 技术 ,在 一 个 大 型 操作 系统 中 ,只 有 其 中 的 一 
小 部 分 软件 用 于 安全 目的 是 它 的 理论 依据 。 所 以 在 重新 生成 操作 系统 过 程 中 ,可 用 其 中 
安全 相关 的 软件 来 构成 操作 系统 的 一 个 可 信和 内核 , 称 为 安全 内 核 。 安 全 内 核 必须 予以 适 
当 的 保护 ,不 能 复 改 。 同 时 绝 不 能 有 任何 绕 过 安全 内 核 存 取 控制 检查 的 存 取 行 为 存在 。 
此 外 安全 内 核 必须 尽 可 能 地 小 ,便于 进行 正确 性 验证 。 由 图 2-2 和 图 2-3 可 见 , 安 全 内 核 
由 硬件 和 介 于 硬件 和 操作 系统 之 间 的 一 层 软 件 组 成 。 安 全 内 核 的 软件 和 硬件 是 可 信和 的 ， 
处 于 安全 周 界 内 ,但 操作 系统 和 应 用 程序 均 处 于 安全 周 界 之 外 。 安 全 周 界 是 指 划 分 操作 
系统 时 ,与 维护 系统 安全 有 关 的 元 素 和 无 关 的 元 素 之 间 的 一 个 想象 的 边界 。 


系统 外 部 


安全 无 关 的 
(不 可 信 的 ) 
安全 周 界外 部 


系统 接口 


安全 周 界 接口 


安全 相关 的 
(可 信 的 ) 
安全 周 界 内 部 


硬件 接口 


图 2-2 一 般 的 计算 机 系统 结构 


户 
NB | | | | | 
! 1 LT 系统 接口 
安全 无 关 的 | 应 用 程序 
(不 可 信 的 ) 有 
安全 周 界外 部 | pe 操作 系统 按 品 
一 一 内 核 接口 
安全 相关 的 “| | 。 安全 内 核 软 人 
(可 信 的 ) 硬件 接口 
安全 周 界 内 部 | | 。 安全 内 核 (硬件 ) 


图 2-3 操作 系统 的 安全 内 核 
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大 多 数 情况 下 ,安全 内 核 是 一 个 简单 的 系统 ,如 同 操作 系统 为 应 用 程序 提供 服务 一 
样 , 它 为 操作 系统 提供 服务 。 而 且 正如 操作 系统 给 应 用 程序 施加 限制 ,安全 内 核 也 同样 对 
操作 系统 施加 限制 。 当 安全 策略 完全 由 安全 内 核 而 不 是 由 操作 系统 实现 时 , 仍 需 操 作 系 
统 维持 系统 的 正常 运行 并 防止 由 于 应 用 程序 的 致命 错误 而 引发 的 拒绝 服务 。 但 是 操作 系 
统 和 应 用 程序 的 任何 错误 均 不 能 破坏 安全 内 核 的 安全 策略 。 

有 时 建立 一 个 安全 内 核 并 不 需要 在 它 上 面 再 建立 一 个 操作 系统 ,理论 上 来 讲 安全 内 
核 可 以 很 好 地 实现 操作 系统 的 所 有 功能 。 结 果 是 如 果 设 计 者 在 安全 内 核 中 融入 操作 系统 
的 特点 越 多 ,安全 内 核 就 变 得 越 大 , 越 像 一 个 常见 的 操作 系统 。 但 是 一 般 来 讲 , 要 人 们 相 
信安 全 内 核 比 操作 系统 更 安全 ,安全 内 核 必须 做 得 尽 可 能 地 小 ,以 便于 采用 各 种 方式 来 有 
效 的 增强 人 们 的 安全 信任 度 , 所 以 在 设计 时 必须 坚决 贯彻 安全 内 核 小 型 化 这 一 原则 : 凡 
不 是 维持 安全 策略 所 必需 的 功能 都 不 应 置 于 安全 内 核 之 中 。 虽 然 在 进行 安全 内 核 设 计时 
还 要 考虑 诸如 性 能 、 使 用 方便 等 因素 ,但 这 些 与 小 型 化 要 求 相 比 , 均 居 从 属地 位 。 

概括 地 来 讲 , 安 全 内 核 的 设计 和 实现 应 当 符 合 以 下 三 条 基本 原则 。 


1. 完整 性 原则 

完整 性 原则 要 求 主体 引用 客体 时 必须 通过 安全 内 核 , 即 所 有 信息 的 访问 都 必须 经 过 
安全 内 核 。 但 是 操作 系统 的 实现 与 完整 性 原则 的 明确 要 求 之 间 通 常 有 很 大 差别 : 操作 系 
统 认为 系统 的 信息 存在 于 明显 的 地 方 , 例 如 文件 .内存 和 输入 输出 缓冲 区 ,并且 操 作 系 统 
有 理由 控制 对 这 些 客体 的 访问 。 完 整 性 原则 并 不 满足 于 对 客体 的 特别 定义 , 它 认 为 任何 
信息 存在 之 处 ,不 管 它 们 大 小 怎样 ,用 途 如 何 , 都 是 一 个 潜在 的 客体 。 

同时 ,完整 性 原则 对 支持 内 核 系统 的 硬件 也 有 一 定 要 求 。 如 果 内 核 不 检查 每 条 机 器 
指令 就 多 许 有 效 地 执行 不 可 信 程 序 , 硬 件 就 必须 保证 程序 不 能 绕 过 内 核 的 存 取 控制 。 所 
有 对 内 存 .寄存 器 .输入 输出 设备 的 引用 必须 由 内 存 管理 中 的 存 取 控 制 等 存 取 机 制 进行 合 
法 存 取 检 查 。 内 核 必须 使 各 个 进程 独立 ,并 且 保证 未 通过 内 核 的 各 进程 间 不 能 相互 联系 。 
若 一 台 机 器 允许 所 有 进程 不 加 约束 就 能 访问 物理 存储 器 的 公共 页 面 , 该 机 器 就 不 适 于 建 
立 安全 内 核 。 


2 隔离 性 原则 

隔离 性 原则 要 求 安 全 内 核 具 有 防 自 改 的 能 力 , 即 可 以 保护 自己 ,防止 偶然 破坏 。 

在 实际 实施 隔离 性 原则 时 常 需要 软 硬 件 相 结合 。 硬 件 的 基本 特性 是 使 内 核能 防止 用 
户 程 序 访问 内 核 代码 和 数据 ,这 与 内 核 防 止 一 进程 访问 别 的 进程 是 同一 种 内 存 管理 机 制 。 
同时 还 必须 防止 用 户 程序 执行 内 核 用 于 控制 内 存 管理 机 制 的 特权 指令 。 这 需要 某 种 形式 
的 域 控制 机 制 , 例 如 保护 环 机 制 。 

在 拥有 这 些 硬件 特性 的 系统 中 ,用 户 程序 几乎 没有 机 会 通过 写 内 核 的 存储 器 .执行 特 
权 指 令 或 修改 内 核 软件 等 方法 使 内 核 受到 直接 攻击 。 


3 可 验证 性 原则 
可 验证 性 原则 是 通过 如 下 一 些 设计 要 素 实 现 的 : 
。 利 用 最 新 的 软件 工程 技术 ,包括 结构 设计 、 模 块 化 .信息 隐藏 ,分 层 、 抽 象 说 明 以 及 
合适 的 高 级 语言 。 
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。 内 核 接口 简单 化 。 

。 内 核 小 型 化 。 

。 代码 检查 。 

。 完全 测试 。 

。 形式 化 数学 描述 与 验证 。 

内 核 安全 验证 的 要 点 一 方面 在 于 建立 安全 数学 模型 ,要 求 该 模型 不 仅 是 安全 功能 的 
精确 定义 ,而 且 也 是 被 形式 化 证 明 为 内 在 一 致 的 ; 另 一 方面 也 要 求 对 安全 模型 和 系统 的 设 
计 进 行 一 致 性 论证 , 即 证 明 内 核 的 实现 符合 该 安全 模型 。 


2.7 可 信 计 算 基 


操作 系统 的 安全 依赖 于 一 些 具体 实施 安全 策略 的 可 信 的 软件 和 硬件 。 这 些 软件 、 硬 
件 和 负责 系统 安全 管理 的 人 员 一 起 组 成 了 系统 的 可 信 计 算 基 (Trusted Computing Base， 
TCB)。 具 体 来 说 可 信 计 算 基 由 以 下 几 部 分 组 成 。 

(1) 操作 系统 的 安全 内 核 。 

(2) 具有 特权 的 程序 和 命令 。 

(3) 处 理 敏 感 信息 的 程序 ,如 系统 管理 命令 等 。 

(4) 与 TCB 实施 安全 策略 有 关 的 文件 。 

(5) 其 他 有 关 的 固件 .硬件 和 设备 。 这 里 要 求 为 使 系统 安全 ,系统 的 固件 和 硬件 部 分 
必须 能 可 信 地 完成 它们 的 设计 任务 。 原 因 在 于 固件 和 硬件 故障 可 能 引起 信息 的 丢失 、 改 
变 或 产生 违反 安全 策略 的 事件 。 因 此 把 安全 操作 系统 中 的 固件 和 硬件 也 作为 TCB 的 一 
部 分 来 看 待 。 

(6) 负责 系统 管理 的 人 员 。 由 于 系统 管理 员 的 误 操作 或 恶意 操作 也 会 引起 系统 的 安 
全 性 问题 ,因此 他 们 也 被 看 作 是 TCB 的 一 部 分 。 系 统 安全 管理 员 必 须 经 过 严格 的 培训 ， 
并 慎重 地 进行 系统 操作 。 

(7) 保障 固件 和 硬件 正确 的 程序 和 诊断 软件 。 

在 上 边 所 列 的 TCB 的 各 组 成 部 分 中 ,可 信 计 算 基 的 软件 部 分 是 安全 操作 系统 的 核心 
内 容 , 它 们 完成 下 述 工作 : 

(1) 内 核 的 良好 定义 和 安全 运行 方式 ; 

(2) 标识 系统 中 的 每 个 用 户 ; 

(3) 保持 用 户 到 TCB 登录 的 可 信 路 径 ; 

(4) 实施 主体 对 客体 的 存 取 控 制 ; 

(5) 维持 TCB 功能 的 正确 性 ; 

(6) 监视 和 记录 系统 中 的 有 关 事 件 。 

在 一 个 通用 安全 操作 系统 中 ,TCB 为 用 来 构成 一 个 安全 操作 系统 的 所 有 安全 保护 装 
置 的 组 合体 。 一 个 TCB 可 以 包含 多 个 安全 功能 模块 (TSF) ,每 一 个 TSF 实现 一 个 安全 
功能 策略 (TSP) ,这 些 TSP 共同 构成 一 个 安全 域 ,以 防止 不 可 信和 主体 的 干扰 和 算 改 。 同 
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时 TCB 中 的 非 TSF 部 分 也 构成 另 一 个 域 , 称 为 非 安全 域 。 

实现 TSF 的 方法 有 两 种 ,一 种 是 设置 前 端 过 滤器 , 另 一 种 是 设置 访问 监督 器 。 两 者 
都 是 在 一 定 硬 件 基 础 上 通过 软件 实现 确定 的 安全 策略 ,并 且 提 供 所 要 求 的 附加 服务 。 例 
如 作为 前 端 过 滤器 的 TSF ,能 防止 非法 进入 系统 ,作为 访问 监督 器 的 TSF, 则 能 防止 越权 
访问 ,等 等 。 

在 单 处 理 机 环境 的 操作 系统 中 ,根据 系统 设计 方法 的 不 同 ,TCB 可 以 是 一 个 安全 内 
核 ,也 可 以 是 一 个 前 端 过 滤器 ,或 者 就 是 操作 系统 的 关键 单元 或 包括 全 部 操作 系统 。 对 于 
网 络 环境 下 的 多 处 理 机 操作 系统 ,一 个 TSF 可 能 跨 网 络 实现 ,这 种 情况 要 比 单 处 理 机 操 
作 系 统 更 为 复杂 。 这 些 TSF 协同 工作 ,构成 一 个 物理 上 分 散 、 人 逻辑 上 统一 的 分 布 式 安全 
系统 ,其 所 提供 的 安全 策略 和 附加 服务 则 为 各 个 TSF 的 总 和 。 


”区 8 本章 小 结 


安全 操作 系统 技术 涉及 许多 基本 概念 ,它们 是 构成 这 个 领域 的 基础 ,但 有 的 相互 之 间 
容易 引起 混淆 。 

本 章 一 般 性 地 介绍 了 安全 操作 系统 的 几 个 基本 概念 ,这 些 概念 是 对 第 1 章 给 出 的 操 
作 系 统 安全 相关 的 术语 定义 的 补充 或 拓展 。 这 些 概 念 ` 定 义 和 术 语 在 后 面 童 节 将 反复 用 
到 ,有 的 还 会 更 进一步 地 展开 讨论 。 


2.9 习题 


1. 安全 操作 系统 的 安全 功能 与 安全 保证 之 间 有 怎样 的 关系 ? 

2. 从 操作 系统 安全 的 角度 如 何 区 分 可 信和 软件 与 不 可 信和 软件 ? 

3. 在 操作 系统 中 哪些 实体 既 可 以 是 主体 又 可 以 为 客体 ?请 举例 说 明 。 

4. 如 何 从 安全 策略 .安全 模型 和 系统 安全 功能 设计 之 间 的 关系 上 ,来 验证 安全 内 核 
的 安全 ? 

5. 为 什么 要 将 可 信 的 管理 人 员 列 人 可 信 计 算 基 的 范畴 ? 这 跟 在 讨论 操作 系统 安全 
时 ,首先 应 该 相信 数据 的 拥有 者 不 会 将 该 数据 泄露 给 不 应 看 到 它 的 其 他 用 户 ,或 对 它 进行 
不 适当 的 修改 ,有 什么 关联 性 ? 
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操作 系统 是 连接 硬件 与 其 他 应 用 软件 之 间 的 桥梁 , 它 提 供 的 安全 服务 有 内 存 保护 , 文 
件 保护 ,普通 实体 保护 (对 实体 的 一 般 访 问 控制 ) ,访问 鉴别 (用 户 身 份 鉴别 ) 等 。 

一 个 操作 系统 的 安全 性 可 以 从 如 下 几 个 方面 加 以 考虑 。 

(1) 物理 上 分 离 : 要 求 进程 使 用 不 同 的 物理 实体 ,例如 将 不 同 的 打印 机 设置 具有 不 
同 的 安全 级 别 。 

(2) 时 间 上 分 离 : 具有 不 同安 全 要 求 的 进程 在 不 同 的 时 间 运 行 。 

(3) 逻辑 上 分 离 : 操作 系统 通过 限制 程序 的 访问 ,使 程序 不 能 访问 其 允许 范围 外 的 
实体 ,从 而 使 用 户 感觉 他 的 操作 是 在 没有 其 他 进程 的 情况 下 独立 进行 的 。 

(4) 密码 上 分 离 : 进程 以 一 种 其 他 进程 不 可 知 的 方式 隐藏 数据 及 计算 。 

当然 ,两 种 或 多 种 分 离 形式 的 结合 也 是 可 能 的 。 所 列 出 的 分 离 策略 基本 上 是 按 其 实 
现 复杂 度 递增 及 所 提供 的 安全 性 递减 的 次 序列 出 的 。 然 而 前 两 种 方法 是 非常 直接 且 将 导 
致 资源 利用 率 严重 下 降 的 方法 。 因 此 为 了 提高 操作 系统 的 性 能 ,要 求 必须 移 去 操作 系统 
保护 的 这 些 沉重 包 裕 ,并且 允许 具有 不 同安 全 需求 的 进程 并 发 执行 。 

操作 系统 安全 的 主要 目标 是 : 

。 依据 系统 安全 策略 对 用 户 的 操作 进行 访问 控制 ,防止 用 户 对 计算 机 资源 的 非法 访 

问 ( 穷 取 、 自 改 和 破坏 ); 

。 标识 系统 中 的 用 户 和 身份 鉴别 ; 

。 监督 系统 运行 的 安全 性 ; 

。 保证 系统 自身 的 安全 性 和 完整 性 。 

为 了 实现 这 些 目 标 ,需要 建立 相应 的 安全 机 制 ,包括 硬件 安全 机 制 . 标 识 与 鉴别 ,访问 
控制 .最 小 特权 管理 .可 信 路 径 、 安 全 审计 等 。 


国 硬件 安全 机 制 


绝 大 多 数 实现 操作 系统 安全 的 硬件 机 制 也 是 传统 操作 系统 所 要 求 的 ,优秀 的 硬件 保 
护 性 能 是 高 效 、 可 靠 的 操作 系统 的 基础 。 计 算 机 硬件 安全 的 目标 是 ,保证 其 自身 的 可 靠 性 
和 为 系统 提供 基本 安全 机 制 。 其 中 基本 安全 机 制 包 括 存储 保护 .运行 保护 .IO 保护 等 。 


311 存储 保护 


对 于 一 个 安全 操作 系统 ,存储 保护 是 一 个 最 基本 的 要 求 ,主要 是 指 保护 用 户 在 存储 器 
中 的 数据 。 保 护 单元 为 存储 器 中 的 最 小 数据 范围 ,可 为 字 、 字 块 、 页 面 或 段 。 保 护 单元 越 
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小 , 则 存储 保护 精度 越 高 。 代 表单 个 用 户 ,在 内 存 中 一 次 运行 一 个 进程 的 系统 ,存储 保护 
机 制 应 该 防止 用 户 程序 对 操作 系统 的 影响 。 在 允许 多 道 程序 并 发 运行 的 多 任务 操作 系统 
中 ,还 进一步 要 求 存储 保护 机 制 对 进程 的 存储 区 域 实行 互相 隔离 。 

存储 保护 与 存储 器 管理 是 紧密 相 联 的 ,存储 保护 负责 保证 系统 各 个 任务 之 间 互 不 干 
扰 ; 存 储 器 管理 则 是 为 了 更 有 效 地 利用 存储 空间 。 下 面 首先 介绍 一 些 存储 器 管理 的 基本 
概念 ,然后 介绍 怎样 利用 这 些 概 念 实现 存储 保护 。 


1 存储 器 管理 的 基本 概念 
1) 虚 地 址 空间 
一 个 进程 的 运行 需要 一 个 “私有 的 ”存储 空间 ,进程 的 程序 与 数据 都 在于 该 空间 中 ,这 

个 空间 不 包括 该 进程 通过 1/O 指令 访问 的 辅 存 空 间 ( 磁 带 、 磁 盘 等 )。 在 这 个 进程 地 址 空 
间 中 ,每 一 个 字 都 有 一 个 固定 的 虚 地 址 (并 不 是 目标 的 物理 地 址 ,但 每 一 个 虚 地 址 均 可 映 
射 成 一 个 物理 地 址 ) ,进程 通过 这 个 虚 地 址 访问 这 个 字 。 大 多 数 系统 都 支持 某 种 类 型 的 虚 
存 方式 ,这 种 虚 存 方式 使 得 一 个 字 的 物理 定位 是 可 变 的 ,每 次 调度 该 进程 时 , 它 的 物理 地 
址 均 可 能 不 同 。 

2) 段 

在 绝 大 部 分 系统 中 ,一 个 进程 的 虚 地 址 空间 至 少 要 被 分 成 两 部 分 或 称 两 个 段 : 一 
用 于 用 户 程序 与 数据 , 称 为 用 户 空间 ; 另 一 个 用 于 操作 系统 , 称 为 系统 空间 。 出 二 前 全 
是 静态 的 ,也 是 比较 简单 的 。 驻 留 在 内 存 中 的 操作 系统 可 以 由 所 有 进程 共享 。 虽然 有 些 
系统 允许 各 进程 共享 一 些 物 理 页 ,但 用 户 间 是 彼此 隔离 的 。 最 灵活 的 分 段 虚 存 方式 是 : 
允许 一 个 进程 拥有 许多 段 , 这 些 段 中 的 任何 一 个 都 可 以 由 其 他 进程 共享 。 


2 内 存 管 理 的 访问 控制 

当 系 统 的 地 址 空间 分 为 两 个 段 时 (系统 段 与 用 户 段 ), 应 禁止 在 用 户 模式 下 运行 的 非 
特权 进程 向 系统 段 进行 写 操作 ,而 当 在 系统 模式 下 运行 时 , 则 允许 进程 对 所 有 的 虚 存 空间 
进行 读 写 操作 。 用 户 模 式 到 系统 模式 的 转换 应 由 一 个 特殊 的 指令 完成 ,该 指令 将 限制 进 
程 只 能 对 部 分 系统 空间 进程 进行 访问 。 这 些 访问 限制 一 般 是 由 硬件 根据 该 进程 的 特权 模 
式 实施 的 ,但 从 系统 灵活 性 的 角度 看 ,还 是 希望 由 系统 软件 精确 地 说 明 该 进程 对 系统 空间 
的 哪 一 页 是 可 读 的 , 哪 一 页 是 可 写 的 。 

在 计算 机 系统 提供 透明 的 内 存 管理 之 前 ,访问 判决 是 基于 物理 页 号 的 识别 。 每 个 物 
理 页 号 都 被 标 以 一 个 称 为 密 钥 的 秘密 信息 :系统 只 允许 拥有 该 密 钥 的 进程 访问 该 物理 页 ， 
同时 利用 一 些 访问 控制 信息 指明 该 页 是 可 读 的 还 是 可 写 的 。 每 个 进程 相应 地 分 配 一 个 密 
钥 ,该 密 钥 由 操作 系统 装 和 人 进程 的 状态 字 中 。 每 次 执行 进程 访问 内 存 的 操作 时 ,由 硬件 对 
该 密 钥 进行 检验 ,只 有 当 进 程 的 密 钥 与 内 存 物 理 页 的 密 钥 相 匹配 ,并 且 相应 的 访问 控制 信 
息 与 该 物理 页 的 读 写 模式 相 匹配 时 , 才 允 许 该 进程 访问 该 页 内 存 , 和 否则 禁止 访问 。 

这 种 对 物理 页 附加 密 钥 的 方法 是 比较 烦琐 的 。 因 为 在 一 个 进程 生存 期 间 , 它 可 能 多 
次 受到 阻塞 而 被 挂 起 , 当 重 新 启动 被 挂 起 的 进程 时 , 它 占有 的 全 部 物理 页 与 挂 起 前 所 占有 
的 物理 页 不 一 定 相同 。 每 当 物 理 页 的 所 有 权 改 变 一 次 ,那么 相应 的 访问 控制 信息 就 得 修 
改 一 次 :并 且 如 果 两 个 进程 共享 一 个 物理 页 ,但 一 个 用 于 读 而 另 一 个 用 于 写 ,那么 相应 的 
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访问 控制 信息 在 进程 转换 时 就 必须 修改 ,这 样 就 会 增加 系统 开销 ,影响 系统 性 能 。 

采用 基于 描述 符 的 地 址 解释 机 制 可 以 避免 上 述 管理 上 的 困难 。 在 这 种 方式 下 ,每 个 
进程 都 有 一 个 “私有 的 ”地址 描述 符 ,进程 对 系统 内 存 某 页 或 某 段 的 访问 模式 都 在 该 描述 
符 中 说 明 。 可 以 有 两 类 访问 模式 集 , 一 类 用 于 在 用 户 状 态 下 运行 的 进程 ,一 类 用 于 在 系统 
模式 下 运行 的 进程 。 

此 处 ,W、R、 各 占 一 比特 ,它们 用 来 指明 是 否 人 允许 进程 对 内 存 的 某 页 或 某 段 进行 
写 . 读 和 运行 的 访问 操作 。 由 于 在 地 址 解释 期 间 , 地 址 描述 符 同 时 也 被 系统 调用 检验 ,所 
以 这 种 基于 描述 符 的 内 存 访问 控制 方法 ,在 进程 转换 .运行 模式 (系统 模式 与 用 户 模式 ) 转 
换 以 及 进程 调 出 /调和 内存 等 过 程 中 ,不 需要 或 仅 需要 很 少 的 额外 开销 。 

312 运行 保护 

安全 操作 系统 很 重要 的 一 点 是 进行 分 层 设计 ,而 运行 域 正 是 这 样 一 种 基于 保护 环 的 
等 级 式 结构 。 运 行 域 是 进程 运行 的 区 域 ,在 最 内 层 具有 最 小 环 号 的 环 具有 最 高 特权 ,而 在 
最 外 层 具 有 最 大 环 号 的 环 是 最 小 的 特权 环 。 一 般 的 系统 不 少 于 3 .4 个 环 。 

设置 两 环 系统 是 很 容易 理解 的 , 它 只 是 为 了 隔离 操作 系统 程序 与 用 户 程序 。 对 于 多 
环 结构 , 它 的 最 内 层 是 操作 系统 , 它 控制 整个 计算 机 
系统 的 运行 ;靠近 操作 系统 环 之 外 的 是 受 限 使 用 的 系 
统 应 用 环 , 如 数据 库 管 理 系 统 或 事务 处 理 系 统 ;最 外 R6 受 限 
一 层 则 是 控制 各 种 不 同 用 户 的 应 用 环 , 如 图 3-1 
所 示 。 

在 这 里 最 重要 的 安全 概念 是 : 等 级 域 机 制 应 该 
保护 某 一 环 不 被 其 外 层 环 侵入 ,并且 人 允许 在 某 一 环 内 
的 进程 能 够 有 效 地 控制 和 利用 该 环 以 及 低 于 该 环 特 
权 的 环 。 进 程 隔离 机 制 与 等 级 域 机 制 是 不 同 的 。 给 
定 一 个 进程 , 它 可 以 在 任意 时 刻 在 任何 一 个 环 内 运 
行 ,在 运行 期 间 还 可 以 从 一 个 环 转移 到 另 一 个 环 。 当 
一 个 进程 在 某 个 环 内 运行 时 ,进程 隔离 机 制 将 保护 该 
进程 免 遭 在 同一 环 内 同时 运行 的 其 他 进程 破坏 ,也 就 
是 说 ,系统 将 隔离 在 同一 环 内 同时 运行 的 各 个 进程 。 

为 实现 两 域 结构 ,在 段 描述 符 中 有 相应 的 两 类 访 图 3-1 分 层 域 
问 模式 信息 ,一 类 用 于 系统 域 ,一 类 用 于 用 户 域 。 这 
种 访问 模式 信息 决定 了 对 该 段 可 进行 的 访问 模式 ,如 图 3-2 所 示 。 

段 描述 符 系统 模式 用 户 模式 


Tv R E Ww 


图 3-2 两 域 结构 中 的 段 描述 符 


1 [3 


物理 地 址 


如 果 要 实现 多 级 域 , 那 就 需要 在 每 个 段 描述 符 中 保存 一 个 分 立 的 W、R、E 比特 集 , 集 
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的 大 小 将 取决 于 设立 多 少 个 等 级 。 这 在 管理 上 是 很 笨拙 的 ,可 以 根据 等 级 原则 简化 段 描 
述 符 。 如 果 环 N 对 某 一 段 具 有 一 个 给 定 的 访问 模式 ,那么 所 有 0 一 N 一 1 的 环 都 具有 这 
种 访问 模式 ,因此 对 于 每 种 访问 模式 , 仅 需要 在 该 描述 让 描述 符 ， 
符 中 指出 具有 该 访问 模式 的 最 大 环 号 。 所 以 在 描述 符 
中 ,不 用 为 每 个 环 都 保存 相应 的 访问 模式 信息 。 对 于 一 RI 
个 给 定 的 内 存 段 , 仅 需 三 个 区 域 (它们 表示 三 种 访问 模 
式 ) ,在 这 三 个 区 域 中 只 要 保存 具有 该 访问 模式 的 最 大 
环 号 即 可 ,如 图 3-3 所 示 。 

人 们 称 这 三 个 环 号 为 环 界 (Ring bracket)。 相 应 地 ,这 里 R1、R2、R3 分 别 表 示 对 该 
段 可 以 进行 写 . 读 和 和 运行 操作 的 环 界 。 

例如 在 某 个 段 描述 符 中 , 环 界 集 (4,5,7) 表 示 0 环 到 4 环 可 对 该 段 进 行 写 操作 ;0 环 
到 5 环 对 该 段 可 进行 读 操作 ;0 环 到 7 环 可 运行 该 段 内 的 代码 。 

实际 上 ,如 果 某 环 内 的 某 一 进程 对 内 存 某 段 具有 写 操作 的 特权 , 那 就 不 必 限 制 其 对 该 
段 的 读 与 运行 操作 特权 。 此 外 ,如 果 进 程 对 某 段 具有 读 操 作 的 特权 , 那 当 然 允 许 其 运行 该 
段 的 内 容 。 所 以 实际 上 总 可 以 设 定 


R2 R3 


图 3-3 多 域 结 构 中 的 段 描述 符 


R1<R2<R3 

如 果 某 段 对 具有 较 低 特权 的 环 是 可 写 的 ,那么 在 较 高 特权 环 内 运行 该 段 的 内 容 将 是 
危险 的 ,因为 该 段 内 容 中 可 能 含有 破坏 系统 运行 或 偷窃 系统 机 密 信息 的 非法 程序 (如 特 洛 
伊 木 马 )。 所 以 从 安全 性 的 角度 考虑 ,不 允许 低 特权 环 内 编写 (修改 ) 的 程序 在 高 特权 环 内 
运行 。 

环 界 集 为 (0,0,0) 的 段 只 允许 最 内 环 ( 具 最 高 特权 ) 访 问 ,而 环 界 集 为 (7,7,7) 则 表示 
任何 环 都 可 以 对 该 段 进行 任何 形式 的 访问 操作 。 由 于 0 环 是 最 高 特权 环 , 故 一 般 不 限制 
0 环 内 的 用 户 对 段 的 访问 模式 。 

对 于 一 个 给 定 的 段 ,每 个 进程 都 有 一 个 相应 的 段 描述 符 表 以 及 相应 的 访问 模式 信息 。 
利用 环 界 集 最 直观 和 最 简单 的 方法 是 ,对 于 一 个 给 定 的 段 ,为 每 个 进程 分 配 一 个 相应 的 环 
界 集 ,不同 的 进程 对 该 段 的 环 界 可 能 是 不 同 的 。 当 两 个 进程 共享 某 一 段 时 , 若 这 两 个 进程 
在 同一 环 内 ,那么 对 该 段 的 环 界 集 就 是 相同 的 ,所 以 它们 对 共享 段 的 访问 模式 也 是 相同 
的 。 反 之 ,处 于 两 个 不 同 环 内 的 进程 对 某 段 的 访问 模式 可 能 是 不 同 的 。 这 种 方法 不 能 解 
决 在 同一 环 内 ,两 个 进程 对 共享 段 设立 不 同 访问 模式 的 问题 。 解 决 的 方法 是 ,将 段 的 环 界 
集 定 义 为 系统 属性 , 它 只 说 明 某 环 内 的 进程 对 该 段 具有 什么 样 的 访问 模式 , 即 哪个 环 内 的 
进程 可 以 访问 该 段 以 及 可 以 进行 何 种 模式 的 访问 ,而 不 考虑 究竟 是 哪个 进程 访问 该 段 。 
所 以 对 一 个 给 定 的 段 , 不 是 为 每 个 进程 都 分 配 一 个 相应 的 环 界 集 ( 由 于 一 个 进程 可 以 在 不 
同 的 环 内 运行 ,所 以 一 个 进程 对 一 个 段 的 环 界 集 可 能 是 不 同 的 ) ,而 是 为 所 有 进程 都 分 配 
一 个 相同 的 环 界 集 。 同 时 在 段 描 述 符 中 再 增加 三 个 访问 模式 位 W、R、E。 这 一 个 访问 模 
式 位 对 不 同 的 进程 是 不 同 的 。 这 时 对 一 个 给 定 段 的 访问 条 件 是 , 仅 当 一 个 进程 在 环 界 集 
限定 的 环 内 运行 且 相 应 的 访问 模式 位 是 ON, 那 么 才 人 允许 该 进程 对 该 段 进 行 相应 的 访问 
操作 。 每 个 进程 的 段 描述 表 中 的 段 描述 符 都 包含 上 述 两 类 信息 。 环 界 集 对 所 有 进程 都 是 
相同 的 ,而 对 不 同 的 进程 可 设置 不 同 的 访问 模式 集 。 这 样 在 同一 环 内 运行 的 两 个 进程 共 
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享 某 个 段 , 且 欲 使 一 个 进程 只 对 该 段 进 行 读 访 问 , 而 另 一 个 进程 仅 对 该 段 进行 写 访问 时 ， 
只 要 按 需 设置 两 个 进程 相应 的 访问 模式 信息 即 可 ,而 它们 的 环 界 集 则 是 相同 的 。 

在 一 个 进程 内 往往 会 发 生 过 程 调用 ,通过 这 些 调 用 ,该 进程 可 以 在 几 个 环 内 往复 转 
移 。 为 安全 起 见 ,在 发 生 过 程 调用 时 ,需要 对 过 程 进 行 检验 。 
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在 一 个 操作 系统 的 所 有 功能 中 ,1/O 一 般 被 认为 是 最 复杂 的 ,人 们 往往 首先 从 系统 的 
LI/O 部 分 寻找 操作 系统 安全 方面 的 缺陷 。 绝 大 多 数 情 况 下 ,1/O 是 仅 由 操作 系统 完成 的 
一 个 特权 操作 ,所 有 操作 系统 都 对 读 写 文件 操作 提供 一 个 相应 的 高 层 系统 调用 ,在 这 些 过 
程 中 ,用 户 不 需要 控制 /O 操作 的 细节 。 

I/O 介质 输出 访问 控制 最 简单 的 方式 是 将 设备 看 作 是 一 个 客体 ,仿佛 它们 都 处 于 安 
全 边界 外 。 由 于 所 有 的 1/O 不 是 向 设备 写 数据 就 是 从 设备 接收 数据 ,所 以 一 个 进行 IO 
操作 的 进程 必须 受到 对 设备 的 读 写 两 种 访问 控制 。 这 就 意味 着 设备 到 介质 间 的 路 径 可 以 
不 受 什么 约束 ,而 处 理 器 到 设备 间 的 路 径 则 需要 施 以 一 定 的 读 写 访问 控制 。 

但 是 若 对 系统 中 的 信息 提供 足够 的 保护 ,防止 被 未 授权 用 户 的 滥用 或 毁坏 ,只 靠 硬 件 
不 能 提供 充分 的 保护 手段 ,必须 由 操作 系统 的 安全 机 制 与 适当 的 硬件 相 结合 才能 提供 强 
有 力 的 保护 。 
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标识 与 鉴别 是 涉及 系统 和 用 户 的 一 个 过 程 。 标 识 就 是 系统 要 标识 用 户 的 身份 ,并 为 
每 个 用 户 取 一 个 系统 可 以 识别 的 内 部 名 称 一 一 用 户 标识 符 。 用 户 标 识 符 必须 是 唯一 的 且 
不 能 被 伪造 ,防止 一 个 用 户 冒 充 另 一 个 用 户 。 将 用 户 标识 符 与 用 户 联系 的 过 程 称 为 鉴别 ， 
鉴别 过 程 主要 用 于 识别 用 户 的 真实 身份 ,鉴别 操作 总 是 要 求 用 户 具有 能 够 证 明 他 的 身份 
的 特殊 信息 ,并 且 这 个 信息 是 秘密 的 ,任何 其 他 用 户 都 不 能 拥有 它 。 

在 操作 系统 中 ,鉴别 一 般 是 在 用 户 登 录 时 发 生 的 ,系统 提示 用 户 输入 口令 ,然后 判断 
用 户 输入 的 口令 是 否 与 系统 中 存在 的 该 用 户 的 口令 一 致 。 这 种 口令 机 制 是 简便 易 行 的 鉴 
别 手 段 , 但 比较 脆弱 ,许多 计算 机 用 户 常常 使 用 自己 的 姓名 ,配偶 的 姓名 、 宠 物 的 名 字 或 者 
生日 作为 口令 ,这 种 口令 很 不 安全 ,因为 这 种 口令 很 难 经 得 住 常见 的 字典 攻击 的 。 较 安全 
的 口令 应 是 不 小 于 6 个 字符 并 同时 含有 数字 和 字母 的 口令 ,并 且 限 定 一 个 口令 的 生存 周 
期 。 另外 ,生物 技术 是 一 种 比较 有 前 途 的 鉴别 用 户 身 份 的 方法 ,如 利用 指纹 、 视 网 膜 等 , 目 
前 这 种 技术 已 取得 了 长 足 进展 ,逐步 达到 了 实用 阶段 。 


322 安全 操作 系统 中 的 标识 与 鉴别 机 制 


在 安全 操作 系统 中 ,可 信 计 算 基 (TCB) 要 求 先 进行 用 户 识别 ,之 后 才 开 始 执 行 要 
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TCB 调节 的 任何 其 他 活动 。 此 外 ,TCB 要 维持 鉴别 数据 ,不 仅 包括 确定 各 个 用 户 的 许可 
证 和 授权 的 信息 ,而且 包括 为 验证 各 个 用 户 标识 所 需 的 信息 (如 口令 等 )。 这 些 数据 将 由 
TCB 使 用 ,对 用 户 标识 进行 鉴别 ,并 对 由 代表 用 户 的 活动 所 创建 的 TCB 之 外 的 主体 , 确 
保 其 安全 级 和 授权 是 受 那个 用 户 的 许可 证 和 授权 支配 的 。TCB 还 必须 保护 鉴别 数据 , 保 
证 它 不 被 任何 非 授 权 用 户 访问 。 

用 户 鉴别 是 通过 口令 完成 的 ,必须 保证 单个 用 户 的 密码 的 私有 性 。 标 识 与 鉴别 机 制 
阻止 非 授权 用 户 登 录 系 统 , 因 此 ,口令 管理 对 保证 系统 安全 操作 是 非常 重要 的 。 另 外 ,还 
可 以 运用 强 认 证 方法 使 每 一 个 可 信 主 体 都 有 一 个 与 其 关联 的 唯一 标识 。 这 同样 要 求 
TCB 为 所 有 活动 用 户 ., 所 有 未 禁止 或 禁止 的 用 户 实体 和 账户 维护 .保护 .显示 状态 信息 。 
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所 有 用 户 都 必须 进行 标识 与 鉴别 。 所 以 需要 建立 一 个 登录 进程 与 用 户 交 互 以 得 到 用 
于 标识 与 鉴别 的 必要 信息 。 首 先 用 户 提供 一 个 唯一 的 用 户 标 识 符 给 TCB; 接着 TCB 对 
用 户 进行 认证 。TCB 必须 能 证 实 该 用 户 的 确 对 应 于 所 提供 的 标识 符 。 这 就 要 求 认证 机 
制 做 到 以 下 几 点 : 

(1) 在 进行 任何 需要 TCB 仲裁 的 操作 之 前 ,TCB 都 应 该 要 求 用 户 标识 他 们 自己 。 通 
过 向 每 个 用 户 提供 唯一 的 标识 ,TCB 维护 每 个 用 户 的 记 账 信息 。 同 时 TCB 还 将 这 种 标 
识 与 该 用 户 有 关 的 所 有 审计 操作 联系 起 来 。 

(2) TCB 必须 维护 认证 数据 ,包括 证 实用 户 身份 的 信息 以 及 决定 用 户 策略 属性 的 信 
息 ,如 groups。 这 些 数据 被 用 来 认证 用 户 身 份 , 并 确保 那些 代表 用 户 行为 的 ,位 于 TCB 
之 外 的 主体 的 属性 对 系统 策略 的 满足 。 只 有 系统 管理 员 才 能 控制 用 户 的 标识 信息 ,除非 
允许 用 户 在 一 定 范围 内 修改 自己 的 认证 数据 ,例如 自身 的 口令 。 

(3) TCB 保护 认证 数据 ,防止 被 非法 用 户 使 用 。 即 使 在 用 户 标识 无 效 的 情况 下 ， 
TCB 仍 执行 全 部 的 认证 过 程 。 当 用 户 连 续 执行 认证 过 程 ,超过 系统 管理 员 指 定 的 次 数 而 
认证 仍然 失败 时 ,TCB 应 关闭 此 登录 会 话 。 当 尝试 次 数 超过 最 高 限 次 时 ,TCB 发 送 警 告 
消息 给 系统 控制 台 或 系统 管理 员 , 将 此 事件 记录 在 审计 档案 中 ,同时 将 下 一 次 登录 延迟 一 
段 时 间 , 时 间 的 长 短 由 授权 的 系统 管理 员 设 定 。TCB 应 提供 一 种 保护 机 制 , 当 连续 或 不 
连续 的 登录 失败 次 数 超过 管理 员 指定 的 次 数 时 ,该 用 户 的 身份 就 临时 不 可 使 用 ,直到 有 系 
统管 理 员 干 预 为 止 。 

(4) TCB 应 能 维护 .保护 .显示 所 有 活动 用 户 和 所 有 用 户 账 户 的 状态 信息 。 

(5) 一 旦 口令 被 用 作 一 种 保护 机 制 ,至 少 应 该 满足 : 

中 当 用 户 选择 了 一 个 其 他 用 户 已 使 用 的 口令 时 ,TCB 应 保持 沉 

@ TCB 应 以 单 向 加 密 方式 存储 口令 we 

@ 在 口令 输入 或 显示 设备 上 ,TCB 应 自动 隐藏 口令 明文 。 

@ 在 普通 操作 过 程 中 ,TCB 在 默认 情况 下 应 禁止 使 用 空 口令 。 只 有 系统 管理 员 可 
以 在 某 些 特殊 操作 中 可 以 在 受 控 方式 下 使 用 空 口令 ,例如 系统 初 起 .手工 修复 、 维 修 模 
下 

@ TCB 应 提供 一 种 保护 机 制 允 许 用 户 更 换 自 己 的 口令 ,这 种 机 制 要 求 重 新 认证 用 
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户 身份 。TCB 还 必须 保证 只 有 系统 管理 员 才 能 设置 或 初始 化 用 户口 令 。 

@ 对 每 一 个 用 户 或 每 一 组 用 户 ,TCB 必须 加 强 口令 失效 管理 。 口 令 的 使 用 期 超过 
系统 的 指定 值 后 ,系统 应 当 要 求 用 户 修改 口令 。 系 统管 理 员 的 口令 有 效 期 通常 比 普 通用 
户 短 。 过 期 口令 将 失效 。 只 有 系统 管理 员 才 能 进行 口令 失效 控制 。 

@ 在 要 求 用 户 更 改口 令 时 ,TCB 应 事先 通知 用 户 。 一 种 方法 是 在 用 户口 令 过 期 之 
前 通知 用 户 系统 指定 的 口令 有 效 时 间 。 或 者 在 口令 过 期 后 ,通知 用 户 , 在 更 改口 令 前 , 允 
许 用 户 有 指定 次 数 的 额外 登录 机 会 。 

@ 要 求 在 系统 指定 的 时 间 段 内 ,同一 用 户 的 口令 不 可 重用 。 

@ TCB 应 提供 一 种 算法 确保 用 户 输入 口令 的 复杂 性 。 口 令 至 少 应 满足 以 下 要 求 : 

。 口令 至 少 应 有 系统 指定 的 最 小 长 度 。 通 常情 况 下 ,最 小 长 度 为 8 个 字符 。 

。 TCB 应 能 修改 口令 复杂 性 检查 算法 ,默认 的 算法 应 要 求 口令 包括 至 少 一 个 字母 

字符 ,一 个 数字 字符 和 一 个 特殊 字符 。 

。 TCB 应 允许 系统 指定 一 些 不 可 用 的 口令 ,如 公司 缩写 字母 .公司 名 称 等 ,并 确保 

用 户 被 禁止 使 用 这 些 口令 。 

四 如 果 有 口令 生成 算法 , 它 必 须 满足 : 

。 产生 的 口令 容易 记忆 ,比如 说 具有 可 读 性 。 

。 用 户 可 自行 选择 可 选 口令 。 

， 口令 应 在 一 定 程度 上 抵御 字典 攻击 。 

。 如 果 口 令 生 成 算法 可 使 用 非 字 母 符号 ,口令 的 安全 不 能 依赖 于 将 这 些 非 字 母 符 

保密 。 

。 生成 口令 的 顺序 应 具有 随机 性 。 连 续 生 成 的 口令 应 毫 不 相关 ,口令 的 生成 不 具有 

周期 性 。 
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令 系 统 提供 的 安全 性 依赖 于 口令 的 保密 性 。 

。 当 用 户 在 系统 注册 时 ,必须 赋予 用 户口 令 ; 

。 用 户口 令 必须 定期 更 改 ; 

。 系统 必须 维护 一 个 口令 数据 库 ; 

。 用 户 必 须 记忆 自身 的 口令 ; 

。 在 系统 认证 用 户 时 ,用 户 必须 输入 口令 。 

所 以 口令 质量 是 一 个 非常 关键 的 因素 。 它 涉及 以 下 几 点 。 


1 口令 空间 
令 空间 的 大 小 是 字母 表 规 模 和 口令 长 度 的 函数 。 满 足 一 定 操作 环境 下 安全 要 求 的 
口令 空间 的 最 小 尺寸 可 以 使 用 以 下 公式 : 
S=G/P 而 G=LxR 
其 中 ,S 代表 口令 空间 , 代表 口令 的 最 大 有 效 期 ,R 代表 单位 时 间 内 可 能 的 口令 猜 
测 数 ,P 代表 口令 有 效 期 内 被 猜 出 的 可 能 性 。 
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2 口令 加 密 算 法 

单 向 加 密 函 数 可 以 用 于 加 密 口 令 ,加 密 算法 的 安全 性 十 分 重要 。 此 外 ,如 果 口 令 加 密 
只 依赖 于 口令 或 其 他 固定 信息 ,有 可 能 造成 不 同 用 户 加 密 后 的 口令 是 相同 的 。 当 一 个 用 
户 发 现 男 一 用 户 加 密 后 的 口令 与 自己 的 相同 时 ,他 就 知道 即使 他 们 的 口令 明文 不 同 ,自己 
的 口令 对 两 个 账号 都 是 有 效 的 。 为 了 减少 这 种 可 能 性 ,加 密 算法 可 以 使 用 诸如 系统 名 或 
用 户 账 号 作为 加 密 因素 。 

3. 口 令 长 度 

口令 的 安全 性 由 口令 有 效 期 内 被 猜 出 的 可 能 性 决定 。 可 能 性 越 小 ,口令 越 安全 。 在 
其 他 条 件 相同 的 情况 下 ,口令 越 长 ,安全 性 越 大 。 口 令 有 效 期 越 短 ,口令 被 猜 出 的 可 能 性 
越 小 。 下 面 的 公式 给 出 了 计算 口令 长 度 的 方法 : 

S=A* 

其 中 ,S 代表 口令 空间 ,A 代表 字母 表 中 字母 个 数 ,M 代表 口令 长 度 。 

计算 口令 长 度 的 过 程 如 下 : 

(1) 建立 一 个 可 以 接受 的 口令 猜 出 可 能 性 P。 例 如 ,将 P 卫 设 为 10-”?。 

(2) 计算 S=G/P, 其 中 G=LXR。 

(3) 计算 口令 长 度 公式 为 

M = logaS 

通常 情况 下 ,M 应 四 舍 五 入 成 最 接近 的 整数 。 


4 系统 管理 员 应 担负 的 职责 

(1) 初始 化 系统 口令 。 系 统 中 有 一 些 标准 用 户 是 事先 在 系统 中 注册 的 。 在 允许 普通 
用 户 访问 系统 之 前 ,系统 管理 员 应 能 为 所 有 标准 用 户 更 改口 令 。 

(2) 初始 口令 分 配 。 系 统管 理 员 应 负责 为 每 个 用 户 产 生 和 分 配 初始 口令 ,但 要 防止 
口令 暴露 给 系统 管理 员 。 

Q@ 有 许多 方法 可 以 实现 口令 生成 后 对 系统 管理 员 的 保密 。 一 种 方法 是 ,将 口令 用 一 
种 密封 的 多 分 块 方 式 显示 ,这 样 对 系统 管理 员 来 说 ,口令 是 不 可 见 的 。 然 后 系统 管理 员 受 
善 保护 好 密封 的 口令 直到 将 其 传送 给 用 户 。 在 这 种 情况 下 ,口令 产生 是 随机 的 ,不 会 泄露 
给 系统 管理 员 。 口令 只 有 解 封 后 才 是 可 见 的 。 另 一 种 方法 是 ,口令 产生 时 用 户 在 场 。 系 
统管 理 员 启动 产生 口令 的 程序 ,用 户 则 掩盖 住 产 生 的 口令 并 删除 或 控 去 显示 痕迹 。 这 种 
方法 不 适用 于 远程 用 户 。 无 论 使 用 哪 一 种 方法 ,必须 在 一 定时 间 内 通知 系统 管理 员 用 户 
已 接收 到 了 分 配 的 口令 。 

@ 使 口令 暴露 无 效 。 当 用 户 初 始 口令 必须 暴露 给 系统 管理 员 时 ,用 户 应 立即 通过 正 
常 程序 更 改 其 口令 ,使 这 种 暴露 无 效 ( 当 然 ,更 改过 程 不 会 再 暴露 口令 给 系统 管理 员 )。 系 
统 可 以 标志 这 样 的 用 户口 令 为 过 期 口令 ,促使 用 户口 令 经 初始 分 配 后 ,访问 系统 接受 认证 
之 前 立即 被 更 改 。 

@ 分 级 分 配 。 当 口令 必须 分 级 时 ,系统 管理 员 必 须 指明 每 个 用 户 的 初始 口令 ,以 及 
后 续 口 令 的 最 高 安全 级 别 。 

(3) 口令 更 改 认 证 。 有 时 用 户 会 忘记 口令 ,或 者 系统 管理 员 可 能 会 认为 某 一 用 户 
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令 已 经 被 破坏 。 为 了 适当 处 理 这 些 问 题 , 系 统管 理 员 应 能 产生 一 个 新 口令 ,更改 任 一 用 户 
的 口令 ,而 事前 他 可 以 不 知道 该 用 户 的 口令 。 系 统管 理 员 在 进行 这 个 操作 时 ,必须 遵循 初 
始 口令 的 分 配 规 则 分 配 新 口令 。 总 之 , 当 口 令 必 须 更 换 时 ,系统 应 进行 主动 的 用 户 身 份 
鉴别 。 

(4) 用 户 ID。 在 系统 的 整个 生存 周期 内 ,每 个 用 户 ID 应 赋予 一 个 唯一 的 用 户 。 换 
句 话说 ,没有 两 个 用 户 在 同一 时 间 内 使 用 同一 个 ID, 即 使 时 间 不 同 也 不 行 。 如 果 两 个 人 
或 更 多 人 知道 某 一 用 户 的 口令 ,安全 性 就 会 遭 到 破坏 。 除 非 是 系统 管理 员 或 者 此 用 户口 
令 已 被 标识 为 过 期 。 

(5) 用 户 ID 重新 生效 。 

为 确保 口令 的 安全 性 ,用户 的 职责 有 

@ 安全 意识 。 用 户 应 明白 他 们 有 责任 将 其 口令 对 他 人 保密 ,报告 口令 更 改 情况 ,并 
关注 安全 性 是 否 被 破坏 。 

@ 更 改口 令 。 口令 应 进行 周期 性 的 改动 。 至 少 应 保证 在 口令 有 效 期 内 ,可 能 的 破坏 
足够 低 。 为 避免 不 必要 地 将 用 户口 令 暴 露 给 系统 管理 员 ,用户 应 能 够 独自 更 改 其 口令 。 

一 个 口令 用 于 认证 的 时 间 越 长 ,其 暴露 的 可 能 性 越 大 。 根 据 口 令 空 间 的 大 小 ,以 及 攻 
击 者 登录 的 速度 ,经 常 更 改口 令 是 必要 的 。 口 令 过 期 后 将 被 视 为 无 效 , 相 关 的 用 户 将 得 到 
口令 过 期 通知 。 系 统 要 求 使 用 过 期 口令 登录 的 用 户 先 更 改 其 口令 ,然后 才 允 许 访问 。 如 
果 口 令 过 期 后 仍 未 被 更 改 , 其 所 属 用 户 账 号 被 锁 住 。 用 被 封锁 的 账号 登录 系统 是 不 允许 
的 ,但 系统 管理 员 在 为 用 户 更 改口 令 后 可 以 解 封 其 账号 。 新 口令 的 最 大 有 效 期 将 被 重 置 。 

为 了 达到 口令 私有 化 的 目的 ,用 户 只 允许 更 改 自己 的 口令 。 为 确保 这 一 点 ,口令 更 改 
程序 应 要 求 用 户 输 入 其 原始 口令 。 

更 改口 令 发 生 在 用 户 要 求 或 口令 过 期 的 情况 下 。 用 户 必 须 输入 新 口令 两 次 ,这 样 就 
表明 用 户 能 连续 正确 地 输入 新 口令 。 于 是 口令 数据 库 就 被 更 新 ,并 发 消息 告诉 用 户 。 如 
果 这 一 过 程 失败 ,用 户 将 被 通知 出 错 信 息 , 原 口 令 仍 保持 有 效 。 如 果 对 过 期 口令 的 修改 失 
败 , 则 用 户 可 以 选择 再 次 更 改 或 退出 系统 。 同 时 审计 模块 应 登记 用 户 的 成 功 或 失败 记录 。 
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1. 口 令 的 内 部 存储 

必须 对 口令 的 内 部 存储 实行 一 定 的 访问 控制 和 加 密 处 理 ,保证 口令 数据 库 不 被 未 授 
权 用 户 进 入 或 者 修改 。 未 授权 读 将 泄露 口令 信息 ,从 而 使 一 个 用 户 可 以 冒充 他 人 登录 系 
统 。 但 要 注意 登录 程序 和 口令 更 改 程序 应 能 够 读 写 口令 数据 库 。 

(1) 可 以 使 用 强制 访问 控制 或 自主 访问 控制 机 制 。 

(2) 无 论 采 取 何 种 访问 控制 机 制 ,都 应 对 存储 的 口令 进行 加 密 , 因 为 访问 控制 有 时 可 
能 被 绕 过 。 口 令 输入 后 应 立即 加 密 ,存储 口令 明文 的 内 存 应 在 口令 加 密 后 立即 删除 ,以 后 
都 使 用 加 密 后 的 口令 进行 比较 。 


2 传输 
在 口令 从 用 户 终端 到 认证 机 的 传输 中 ,应 施加 某 种 保护 。 在 保护 级 别 上 ,只 要 与 敏感 
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数据 密级 相等 即 可 。 


3 登录 尝试 》 次 数 
Nd 在 口令 的 有 效 期 内 ,攻击 者 猜测 口令 的 次 数 就 会 限制 在 一 定 
范围 内 。 每 一 个 访问 端口 应 独立 控制 登录 尝试 次 数 。 建 议 限制 每 秒 或 每 分 钟 内 尝试 最 大 
oe 在 成 功 登录 的 情况 下 ,登录 程序 
不 应 有 故意 的 延迟 ,但 对 不 成 功 的 登录 ,应 使 用 内 部 定时 器 延迟 下 一 次 登录 请 求 。 


4 用 户 安 全 属性 

对 于 多 级 安全 操作 系统 ,标识 与 鉴别 不 但 要 完成 一 般 的 用 户 管理 和 登录 功能 ,如 检查 
用 户 的 登录 名 和 口令 .赋予 用 户 唯 一 标识 用 户 id 组 id, 还 要 检查 用 户 申 请 的 安全 级 .计算 
特权 集 .审计 屏蔽 码 ; 赋 予 用 户 进程 安全 级 .特权 集 标识 和 审计 屏蔽 码 。 检 查 用 户 安 全 级 
就 是 检验 其 本 次 申请 的 安全 级 是 否 在 系统 安全 文件 档 中 定义 的 该 用 户 安全 级 范围 之 内 。 
若是 则 认可 ,否则 系统 拒绝 用 户 的 本 次 登录 。 若 用 户 没有 申请 安全 级 ,系统 取出 该 用 户 的 
默认 安全 级 作为 用 户 本 次 注册 的 安全 级 ,赋予 用 户 进程 。 


5 审计 

(1) 系统 应 对 口令 的 使 用 和 更 改进 行 审 计 。 审 计 事件 包括 成 功 登 录 . 失 败 尝 试 口令 
更 改 程序 的 使 用 .口令 过 期 后 上 锁 的 用 户 账号 等 。 对 每 个 事件 ,应 记录 : 事件 发 生 的 日 期 
和 时 间 .失败 登录 时 提供 的 用 户 账号 .其 他 事件 执行 者 的 真实 用 户 账号 和 事件 发 生 终端 或 
端口 号 等 。 

(2) 实时 通知 系统 管理 员 。 同 一 访问 端口 或 使 用 同一 用 户 账号 连续 5 次 (或 其 他 阅 
值 ) 以 上 的 登录 失败 应 立即 通知 系统 管理 员 。 虽 然 不 要 求 立即 采取 一 定 措施 ,但 频繁 的 报 
警 可 能 说 明 攻 击 者 正 试图 渗透 系统 。 

(3) 通知 用 户 。 成 功 登录 时 ,系统 应 通知 用 户 以 下 信息 : 用 户 上 一 次 成 功 登 录 的 日 
期 和 时 间 、 用 户 登录 地 点 、 从 上 一 次 成 功 登 录 以 后 的 所 有 失败 登录 。 如 此 用 户 可 以 据 此 判 
断 是 否 有 他 人 在 使 用 或 试图 猜测 自己 的 账号 和 口令 。 


3.3 ”访问 控制 


在 计算 机 系统 中 ,安全 机 制 的 主要 内 容 是 访问 控制 ,包括 以 下 三 个 任务 。 

(1) 授权 : 确定 可 给 予 哪些 主体 访问 客体 的 权力 。 

(2) 确定 访问 权限 ( 读 、 写 执行、 删除 .追加 等 访问 方式 的 组 合 ) 。 

(3) 实施 访问 权限 。 

这 里 ,术语 “访问 控制 ? 仅 适 用 于 计算 机 系统 内 的 主体 和 客体 ,而 不 包括 外 界 对 系统 的 
访问 。 控 制 外 界 对 系统 访问 的 技术 是 标识 与 鉴别 。 

在 安全 操作 系统 领域 中 ,访问 控制 一 般 涉 及 自主 访问 控制 和 强制 访问 控制 两 种 形式 。 
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331 自主 访问 控制 


1 自主 访问 控制 

自主 访问 控制 (Discretionary Access Control,DAC) 是 最 常用 的 一 类 访问 控制 机 制 ， 
用 来 决定 一 个 用 户 是 否 有 权 访问 一 些 特定 客体 的 一 种 访问 约束 机 制 。 在 自主 访问 控制 机 
制 下 ,文件 的 拥有 者 可 以 按照 自己 的 意愿 精确 指定 系统 中 的 其 他 用 户 对 其 文件 的 访问 权 。 
亦 即 使 用 自主 访问 控制 机 制 , 一 个 用 户 可 以 自主 地 说 明 他 所 拥有 的 资源 允许 系统 中 哪些 
用 户 以 何 种 权限 进行 共享 。 从 这 种 意义 上 讲 , 是 “自主 ?的 。 另 外 ,自主 也 指 对 其 他 具有 授 
予 某 种 访问 权力 的 用 户 能 够 自主 地 (可 能 是 间接 的 ) 将 访问 权 或 访问 权 的 某 个 子 集 授予 另 
外 的 用 户 。 

需要 自主 访问 控制 保护 的 客体 的 数量 取决 于 系统 环境 ,几乎 所 有 的 系统 在 自主 访问 
控制 机 制 中 都 包括 对 文件 .目录 、IPC 以 及 设备 的 访问 控制 。 

为 了 实现 完备 的 自主 访问 控制 机 制 , 系 统 要 将 访问 控制 矩阵 相应 的 信息 以 某 种 形式 
保存 在 系统 中 。 访 问 控制 矩阵 的 每 一 行 表示 一 个 主体 ,每 一 列表 示 一 个 受 保 护 的 客体 , 矩 
阵 中 的 元 素 表 示 主 体 可 对 客体 进行 的 访问 模式 。 目 前 在 操作 系统 中 实现 的 自主 访问 控制 
机 制 都 不 是 将 矩阵 整个 地 保存 起 来 ,因为 这 样 做 效率 很 低 。 实 际 的 方法 是 基于 和 矩阵 的 行 
或 列表 达 访 问 控制 信息 。 

1) 基于 行 的 自主 访问 控制 机 制 

基于 行 的 自主 访问 控制 机 制 在 每 个 主体 上 都 附加 一 个 该 主体 可 访问 的 客体 的 明细 
表 , 根 据 表 中 信息 的 不 同 又 可 分 成 以 下 三 种 形式 , 即 能 力 表 ,前缀 表 和 口令 。 

(1) 能 力 表 (capabilities list) 。 

能 力 决定 用 户 是 否 可 以 对 客体 进行 访问 以 及 进行 何 种 模式 的 访问 ( 读 、 写 、 执 行 ), 拥 
有 相应 能 力 的 主体 可 以 按照 给 定 的 模式 访问 客体 。 在 系统 的 最 高 层 上 , 即 与 用 户 和 文件 
相 联系 的 位 置 ,对 于 每 个 用 户 ,系统 有 一 个 能 力 表 。 要 采用 硬件 .软件 或 加 密 技 术 对 系统 
的 能 力 表 进行 保护 ,防止 非法 修改 。 用 户 可 以 把 自己 文件 能 力 的 拷贝 传 给 其 他 用 户 , 从 而 
使 别 的 用 户 也 可 以 访问 相应 的 文件 ;也 可 以 从 其 他 用 户 那里 取 回 能 力 , 从 而 恢复 对 自己 文 
件 的 访问 权限 。 这 种 访问 控制 方法 ,系统 要 维护 记录 每 个 用 户 状态 的 一 个 表 , 该 表 保 留成 
千 上 万 条 目 。 当 一 个 文件 被 删除 以 后 ,系统 必须 从 每 个 用 户 的 表 上 清除 那个 文件 相应 的 
能 力 。 即 使 一 个 简单 的 “ 谁 能 访问 该 文件 ?” 的 问题 ,也 要 花费 系统 大 量 时 间 从 每 个 用 户 的 
能 力 表 中 寻找 。 因 此 ,目前 利用 能 力 表 实 现 的 自主 访问 控制 系统 不 多 ,并 且 在 这 些 为 数 不 
多 的 系统 中 ,只 有 少数 系统 试图 实现 完备 的 自主 访问 控制 机 制 。 

(2) 前 级 表 (profiles)。 

对 每 个 主体 赋予 的 前 级 表 , 包 括 受 保护 客体 名 和 主体 对 它 的 访问 权限 。 当 主体 要 访 
问 某 客 体 时 ,自主 访问 控制 机 制 将 检查 主体 的 前 缀 是 否 具有 它 所 请 求 的 访问 权 。 

作为 一 般 的 安全 规则 ,除非 主体 被 授予 某 种 访问 模式 ,和 否则 任何 主体 对 任何 客体 都 不 
具有 任何 访问 权力 。 用 专门 的 安全 管理 员 控制 主体 前 缀 相对 而 言 是 比较 安全 的 ,但 这 种 
方法 非常 受 限 。 在 一 个 频繁 更 迭 对 客体 的 访问 权 的 环境 下 ,这 种 方法 肯定 是 不 适宜 的 。 
因为 访问 权 的 撤销 一 般 也 是 比较 困难 的 ,除非 对 每 种 访问 权 , 系 统 都 能 自动 校 验 主体 的 前 
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级 。 而 删除 一 个 客体 则 需要 判定 在 哪个 主体 前 级 中 有 该 客体 。 另 外 ,客体 名 由 于 通常 是 
杂乱 无 章 的 ,所 以 很 难 分 类 。 对 于 一 个 可 访问 许多 客体 的 主体 , 它 的 前 级 量 将 是 非常 大 
的 ,因而 是 很 难 管理 的 。 此 外 ,所 有 受 保护 的 客体 都 必须 具有 唯一 的 客体 名 ,互相 不 能 重 
名 ,而 在 一 个 客体 很 多 的 系统 中 ,应 用 这 种 方法 就 十 分 困难 。 

(3) 口令 (password)。 

在 基于 口令 机 制 的 自主 访问 控制 机 制 中 ,每 个 客体 都 相应 地 有 一 个 口令 。 主 体 在 对 
客体 进行 访问 前 ,必须 向 操作 系统 提供 该 客体 的 口令 。 如 果 正 确 , 它 就 可 以 访问 该 客体 。 

如 果 对 每 个 客体 ,每 个 主体 都 拥有 它 自己 独 有 的 口令 , 则 类 似 于 能 力 表 系 统 。 不 同 之 
处 在 于 ,口令 不 像 能 力 那 样 是 动态 的 。 系 统一 般 允 许 对 每 个 客体 分 配 一 个 口令 或 者 对 每 
个 客体 的 每 种 访问 模式 分 配 一 个 口令 。 一 般 来 说 ,一 个 客体 至 少 需要 两 个 口令 ,一 个 用 于 
控制 读 , 一 个 用 于 控制 写 。 

对 于 口令 的 分 配 , 有 些 系统 是 只 有 系统 管理 员 才 有 权力 进行 ,而 另外 一 些 系统 则 人 允许 
客体 的 拥有 者 任意 地 改变 客体 的 口令 。 

口令 机 制 对 于 确认 用 户 身 份 , 也 许 是 一 种 比较 有 效 的 方法 ,但 用 于 客体 访问 控制 , 它 
并 不 是 一 种 合适 的 方法 。 因 为 如 果 要 撤销 某 用 户 对 一 个 客体 的 访问 权 , 只 有 通过 改变 该 
客体 的 口令 才 行 ,这 同时 也 意味 着 废除 了 所 有 其 他 可 访问 该 客体 的 用 户 的 访问 权力 。 当 
然 可 以 对 每 个 客体 使 用 多 个 口令 来 解决 这 个 问题 ,但 每 个 用 户 必 须 记 住 许多 不 同 的 口令 ， 
当 客体 很 多 时 ,用户 就 不 得 不 将 这 些 口 令 记 录 下 来 才 不 至 于 混淆 或 遗忘 ,这 种 管理 方式 很 
麻烦 也 不 安全 。 另 外 ,口令 是 手工 分 发 的 ,无 须 系统 参与 ,所 以 系统 不 知道 究竟 是 哪个 用 
户 访问 了 该 客体 ,并 且 当 一 个 程序 运行 期 间 要 访问 某 个 客体 时 ,该 客体 的 口令 就 必须 灸 内 
在 程序 中 ,这 就 大 大 增加 了 口令 意外 泄露 的 危险 。 因 为 其 他 用 户 完全 不 必 知 道 某 客体 的 
口令 ,只 需 运 行 一 段 镶 财 该 客体 口令 的 程序 就 可 以 访问 到 该 客体 了 。 这 同样 给 这 种 机 制 
带 来 了 不 安全 性 。 

2) 基于 列 的 自主 访问 控制 机 制 

基于 列 的 自主 访问 控制 机 制 ,在 每 个 客体 都 附加 一 个 可 访问 它 的 主体 的 明细 表 , 它 有 
两 种 形式 , 即 保护 位 和 访问 控制 表 。 

(1) 保护 位 (protection bits) 。 这 种 方法 对 所 有 主体 .主体 组 以 及 客体 的 拥有 者 指明 
一 个 访问 模式 集合 。 保 护 位 机 制 不 能 完备 地 表达 访问 控制 矩阵 ,一 般 很 少 使 用 。 

(2) 访问 控制 表 (Access Control List, ACL)。 这 是 国际 上 流行 的 一 种 十 分 有 效 的 自 
主 访问 控制 模式 , 它 在 每 个 客体 上 都 附加 一 个 主体 明细 表 ,表示 访问 控制 矩阵 。 表 中 的 每 
一 项 都 包括 主体 的 身份 和 主体 对 该 客体 的 访问 权限 。 它 的 一 般 结构 如 图 3-4 所 示 。 


客体 filel: | IDl.rx | 1D2r | 1D3.x 2 | IDn.rwx | 


图 3-4 访问 控制 表 ACL 


对 于 客体 filel ,主体 ID1 对 它 只 具有 读 (r) 和 运行 (x) 的 权力 ,主体 ID2 只 具有 读 权 
力 , 主 体 ID3 只 具有 运行 的 权力 ,而 主体 IDn 则 对 它 同时 具有 读 、 写 和 运行 的 权力 。 但 在 
实际 应 用 中 , 当 对 某 客体 可 访问 的 主体 很 多 时 ,访问 控制 表 将 会 变 得 很 长 。 而 在 一 个 大 系 
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统 中 ,客体 和 主体 都 非常 多 ,这 时 使 用 这 种 一 般 形式 的 访问 控制 表 将 占用 很 多 CPU 时 
间 。 因 此 访问 控制 表 必须 简化 ,如 把 用 户 按 其 所 属 或 其 


工作 性 质 进行 分 类 ,构成 相应 的 组 (group) ,并 设置 一 个 SAVE 

通配符 (wild eard)* x ”, 代 表 任何 组 名 或 主体 标识 符 ， | Janes | CRYPTO | wx 

如 图 3-5 所 示 。 * | CRYPTO rx 
图 3-5 中 CRYPTO 组 中 的 用 户 Jones 对 文件 ALA | Green 4 

拥有 rwx 访问 权限 。CRYPTO 同 组 中 的 其 他 用 户 拥 有 ， | ， 

rx 权限 。Green 如 果 不 在 CRYPTO 同 组 中 ,就 没有 任 

何 权 限 。 其 他 用 户 拥有 权限。 图 3-5 访问 控制 表 的 优化 


通过 这 种 简化 ,访问 控制 表 就 大 大 地 缩小 了 ,效率 
提高 了 ,并 且 也 能 够 满足 自主 访问 控制 的 需要 。 


2 自主 访问 控制 的 实现 举例 

1) 拥有 者 / 同 组 用 户 / 其 他 模式 

在 UNIX、Linux、VMS 等 系统 中 ,实现 了 一 种 十 分 简单 .常用 而 又 有 效 的 自主 访问 控 
制 模式 ,就 是 在 每 个 文件 上 附加 一 段 有 关 访 问 控制 信息 的 二 进 制 位 ,如 图 3-6 所 示 。 


用 WE | rw XxX 


拥有 者 同 组 用 户 | 其 他 用 户 


图 3-6 常用 的 自主 访问 控制 模式 


这 些 二 进 制 位 反映 了 不 同类 别 用 户 的 访问 方式 ,文件 的 拥有 者 ,与 文件 拥有 者 同 组 的 
用 户 .其 他 用 户 ( 一 般 称 为 9 比特 位 模式 )。 即 : 
owner 此 客体 的 拥有 者 对 它 的 访问 权限 
group owner 同 组 用 户 对 此 客体 的 访问 权限 
other 其 他 用 户 对 此 客体 的 访问 权限 
这 种 模式 的 一 个 很 大 缺点 就 是 客体 的 拥有 者 不 能 够 精确 控制 某 个 用 户 对 其 客体 的 访 
问 权 ,如 不 能 够 指定 与 owner 同 组 的 用 户 A 能 够 对 该 客体 具有 读 、 写 和 执行 权限 ,而 与 
owner 同 组 的 用 户 B 不 可 以 对 该 客体 有 任何 权限 。 
2) 访问 控制 表 (ACL) 和 “拥有 者 / 同 组 用 户 / 其 他 ” 相 结 合 的 模式 
实际 实现 的 安全 操作 系统 UNIX SVR4. 1ES 采 用 了 “拥有 者 / 同 组 /其 他 ”模式 和 访 
问 控制 表 相 结合 的 方法 ,访问 控制 表 只 对 “拥有 者 / 同 组 /其 他 ”无 法 分 组 的 用 户 才 使 用 。 
两 种 自主 访问 控制 模式 共存 于 系统 之 中 , 既 保 持 了 与 原 系 统 的 兼容 性 ,又 将 用 户 控 制 粒 度 
细 化 到 系统 中 的 单个 用 户 。 系 统 能 够 赋予 或 排除 某 一 个 用 户 对 一 文件 或 目录 的 访问 权 
限 ,克服 了 原 UNIX 系统 只 能 将 访问 权限 分 配 到 组 或 所 有 其 他 用 户 这 样 一 种 较 粗 粒度 的 
局 限 性 。 
UNIX SVR4. 1ES 在 文件 系统 中 ,针对 文件 的 索引 结构 开发 ACL 项 及 相关 信息 项 ， 
使 每 个 文件 对 应 一 个 ACL。 在 IPC 的 索引 结构 中 开发 ACL 项 及 相关 信息 项 ,使 每 个 消 
息 队 列 、 每 个 信号 量 集合 、 每 个 共享 存储 区 对 应 一 个 ACL。 
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(1) ACL 语义 。 一 个 ACL 是 对 应 于 一 个 客体 的 三 元 组 过 a_type, a_id,，a_perm> 的 
集合 ,每 个 三 元 组 称 为 ACL 的 一 项 ,每 项 表示 人 允许 某 个 ( 些 ) 用 户 对 该 文件 的 访问 权 
限 , 如 : 


< type, id, Perm> 


其 中 ,type 表示 id 为 用 户 ID, 还 是 用 户 组 ID, perm 表示 人 允许 id 代表 的 用 户 对 该 文件 的 
访问 权限 。 

(2) 对 ACL 的 操作 。 用 户 可 以 对 一 个 客体 对 应 的 ACL 进行 “授权 ”“ 取 消 ”“ 查 阅 ” 

。“ 授 权 ” 操 作用 于 将 一 个 指定 用 户 的 标识 符 和 对 应 的 访问 权限 加 入 一 个 ACL 中 。 

。“ 取 消 ” 操 作用 于 从 指定 标识 符 项 的 访问 权限 中 取消 某 些 访问 权限 。 

。“ 查 阅 ” 操 作用 于 读 取 一 个 指定 客体 对 应 的 ACL 的 内 容 。 

(3) DAC 安全 检查 策略 。 

。 若 进程 以 x 权限 访问 客体 ,zx 须 在 客体 的 相应 ACL 项 中 。 

。 若 进程 搜索 一 路 径 path, 进 程 必须 具有 路 径 名 中 每 一 目录 分 量 的 搜索 权 。 

进程 访问 一 个 文件 时 ,调用 自主 访问 控制 机 制 。 将 进程 的 uid、gid 等 用 户 标 识 信息 
和 请 求 访问 方式 mode 与 ACL 中 的 项 相 比 较 , 检 验 是 否 允 许 进程 以 mode 方式 访问 该 
文件 。 

自主 访问 控制 机 制 是 保护 计算 机 信息 系统 资源 不 被 非法 访问 的 一 种 有 效 的 手段 ,但 
它 有 一 个 明显 的 缺点 ,就 是 这 种 控制 是 自主 的 。 ee 
活性 ,但 缺乏 高 安全 等 级 所 需 的 高 安全 性 ,此 时 系统 需要 采取 更 强 的 访问 控制 手段 ,这 就 
是 强制 访问 控制 (Mandat-ory Access Control,MAC) 。 


332 强制 访问 控制 


1. 基本 概念 
在 强制 访问 控制 机 制 下 ,系统 中 的 每 个 进程 .每 个 文件 .每 个 IPC 客体 ( 消息 队列 、 信 
号 量 集合 和 共享 存储 区 都 被 赋予 了 相应 的 安全 属性 ,这 些 安全 属性 是 不 能 改变 的 , 它 由 
管理 部 门 (如 安全 管理 员 ) 或 由 操作 系统 自动 地 按照 严格 的 规则 来 设置 ,不 像 访 问 控制 表 
那样 由 用 户 或 他 们 的 程序 直接 或 间接 地 修改 。 当 一 进程 访问 一 个 客体 (如 文件 ) 时 ,调用 
强制 访问 控制 机 制 , 根 据 进程 的 安全 属性 和 访问 方式 ,比较 进程 的 安全 属性 和 客体 的 安全 
属性 ,从 而 确定 是 否 允 许 进程 对 客体 的 访问 。 代 表 用 户 的 进程 不 能 改变 自身 的 或 任何 客 
体 的 安全 属性 ,包括 不 能 改变 属于 用 户 的 客体 的 安全 属性 ,而 且 进 程 也 不 能 通过 授予 其 他 
用 户 客体 访问 权限 简单 地 实现 客体 共享 。 如 果 系 统 判 定 拥 有 某 一 安全 属性 的 主体 不 能 访 
问 某 个 客体 ,那么 任何 人 (包括 客体 的 拥有 者 ) 也 不 能 使 它 访问 该 客体 。 从 这 种 意义 上 讲 ， 
是 “强制 ”的 。 
强制 访问 控制 和 自主 访问 控制 是 两 种 不 同类 型 的 访问 控制 机 制 , 它 们 常 结合 起 来 使 
用 。 仅 当主 体能 够 同时 通过 自主 访问 控制 和 强制 访问 控制 检查 时 , 它 才 能 访问 一 个 客体 。 
用 户 使 用 自主 访问 控制 防止 其 他 用 户 非法 入 侵 自己 的 文件 ,强制 访问 控制 则 作为 更 强 有 
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力 的 安全 保护 方式 ,使 用 户 不 能 通过 意外 事件 和 有 意识 的 误 操作 逃避 安全 控制 。 因 此 强 
制 访问 控制 用 于 将 系统 中 的 信息 分 密级 和 类 进行 管理 ,适用 于 政府 部 门 、 军 事 和 金融 等 
领域 。 

通常 强制 访问 控制 可 以 有 许多 不 同 的 定义 ,但 它们 都 同 美国 国防 部 定义 的 多 级 安全 
策略 相 接 近 , 所 以 人 们 一 般 都 将 强制 访问 控制 和 多 级 安全 体系 相提并论 。 

多 级 安全 的 思想 起 源 于 20 世纪 60 年 代 末期 ,当时 美国 国防 部 决定 研究 开发 保护 计 
算 机 中 的 机 密 信息 的 新 方式 。 其 实 美国 国防 部 对 人 工 管理 和 存储 机 密 信息 早 有 严格 的 政 
策 , 即 军事 安全 策略 。 多 级 安全 (又 称 MLS) 是 军事 安全 策略 的 数学 描述 ,是 计算 机 能 实 
现 的 形式 定义 。 

1) 军事 安全 策略 

计算 机 内 的 所 有 信息 (如 文件 ) 都 具有 相应 的 密级 ,每 个 人 都 拥有 一 个 许可 证 。 为 了 
确定 是 否 应 该 允许 某 人 阅读 一 个 文件 ,要 把 该 人 的 许可 证 同文 件 的 密级 进行 比较 。 仅 当 
用 户 的 许可 证 大 于 或 等 于 文件 的 密级 时 ,他 才 可 以 合法 地 获得 文件 的 信息 。 军 事 安全 策 
略 的 目的 是 防止 用 户 取 得 他 不 应 得 到 的 密级 较 高 的 信息 。 密 级 、 安 全 属性 、 许 可 证 ,访问 
类 等 含义 是 一 样 的 ,分 别 对 应 于 主体 或 客体 ,一 般 都 统称 安全 级 。 

安全 级 由 以 下 两 方面 的 内 容 构 成 。 

(1) 保密 级 别 ( 或 叫做 敏感 级 别 或 级 别 ): 例如 ,可 分 为 公开 、 秘 密 、 机 密 和 绝密 等 
级 别 。 

(2) 范畴 集 : 该 安全 级 涉及 的 领域 ,如 人 事 处 、 财 务 处 等 。 

安全 级 包括 一 个 保密 级 别 ,范畴 集 包 含 任意 多 个 范畴 。 安 全 级 通常 写作 保密 级 别 后 
随 一 范畴 集 的 形式 。 例 如 : 

{机 密 : 人 事 处 ,财务 处 ,科技 处 } 

实际 上 范畴 集 常 常 是 空 的 ,而 且 很 少 有 几 个 范畴 名 。 

在 安全 级 中 保密 级 别 是 线性 排列 的 。 例 如 : 公开 二 秘密 二 机 密 二 绝密 ;范畴 则 是 
互相 独立 的 和 无 序 的 ,两 个 范畴 集 之 间 的 关系 是 包含 .被 包含 或 无 关 。 两 个 安全 级 之 间 的 
关系 有 以 下 几 种 : 

第 一 安全 级 支配 第 二 安全 级 , 即 第 一 安全 级 的 级 别 不 小 于 第 二 安全 级 的 级 别 , 第 
一 安全 级 的 范畴 集 包 含 第 二 安全 级 的 范畴 集 。 

@ 第 一 安全 级 支配 于 第 二 安全 级 ,或 第 二 安全 级 支配 第 一 安全 级 , 即 第 二 安全 级 的 
级 别 不 小 于 第 一 安全 级 的 级 别 , 第 二 安全 级 的 范畴 集 包 含 第 一 安全 级 的 范畴 集 。 

@ 第 一 安全 级 等 于 第 二 安全 级 , 即 第 一 安全 级 的 级 别 等 于 第 二 安全 级 的 级 别 , 第 一 
安全 级 的 范畴 集 等 于 第 二 安全 级 的 范畴 集 。 

@ 两 个 安全 级 无 关 , 即 第 一 安全 级 的 范畴 集 不 包含 第 二 安全 级 的 范畴 集 , 同 时 第 二 
安全 级 的 范畴 集 不 包含 第 一 安全 级 的 范畴 集 。 

“支配 ”这 一 单词 ,在 此 处 表示 偏 序 关系 , 它 类 似 于 “大 于 或 等 于 ”的 含义 。 例 如 ,一 个 
文件 的 安全 级 是 {机 密 : NATO,NUCLEAR } ,如 果 用 户 的 安全 级 为 { 绝 密 : NATO， 
NUCLEAR,CRYPTO} , 则 他 可 以 阅读 这 个 文件 ,因为 用 户 的 级 别 高 ,涵盖 了 文件 的 范 
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上 畴 。 相 反 具 有 安全 级 为 { 绝 密 : NATO,CRYTPO} 的 用 户 则 不 能 读 这 个 文件 ,因为 用 户 
缺少 了 NUCLEAR 范畴 。 

2) 多 级 安全 规则 与 BLP 模型 

多 级 安全 计算 机 系统 的 第 一 个 数学 模型 是 Bell-LaPudula 模型 (一 般 称 BLP 模型 )， 
它 是 由 David Bell 和 Leonard LaPadula 于 1973 年 创立 的 ,是 模拟 符合 军事 安全 策略 的 计 
算 机 操作 的 模型 ,是 最 早 的 ,也 是 最 常 使 用 的 一 种 模型 ,已 实际 应 用 于 许多 安全 操作 系统 
的 开发 中 。BLP 模型 的 目标 就 是 详细 说 明 计 算 机 的 多 级 操作 规则 。 对 军事 安全 策略 的 
精确 描述 被 称 作 是 多 级 安全 策略 。 也 正 因为 Bell-LaPadula 模型 是 最 有 名 的 多 级 安全 策 
略 模型 ,所 以 常 把 多 级 安全 的 概念 与 Bell-LaPadula 模型 等 同 。 事 实 上 其 他 一 些 模型 也 符 
合 多 级 安全 策略 ,只 是 每 种 模型 都 倾向 于 用 不 同 的 方法 表达 策略 ,但 它们 运用 的 策略 都 是 
相同 的 。BLP 模型 的 详细 内 容 将 在 第 4 章 中 介绍 。 

BLP 模型 有 两 条 基本 的 规则 ,如 图 3-7 所 示 。 


R 违背 规则 1 


图 3-7 多 级 安全 规则 


规则 1: (也 称 为 简单 安全 特性 ) 一 个 主体 对 客体 进行 读 访 问 的 必要 条 件 是 主体 的 安 
全 级 支配 客体 的 安全 级 , 即 主体 的 保密 级 别 不 小 于 客体 的 保密 级 别 ,主体 的 范畴 集合 包含 
客体 的 全 部 范畴 , 即 主体 只 能 向 下 读 , 不 能 向 上 读 。 

规则 2: (也 称 为 * 特性 ): 一 个 主体 对 客体 进行 写 访问 的 必要 条 件 是 客体 的 安全 级 
支配 主体 的 安全 级 , 即 客体 的 保密 级 别 不 小 于 主体 的 保密 级 别 ,客体 的 范畴 集合 包含 主体 
的 全 部 范畴 。 即 主体 只 能 向 上 写 ,不 能 向 下 写 。 

规则 2 允许 一 个 主体 可 以 向 一 个 高 安全 级 的 客体 写 和 信息。 从 信息 安全 的 角度 来 
说 ,没有 理由 拒绝 向 上 写 的 方式 ,如 采用 追加 写 的 方式 允许 主体 把 信息 追加 到 它 不 能 读 的 
文件 末尾 。 这 种 想法 很 好 ,但 是 实现 却 相当 困难 。 实 际 上 ,大 多 数 实现 的 多 级 安全 系统 只 
是 允许 主体 向 和 他 安全 级 相等 的 客体 写 和 信息。 当然 ,为 使 主体 既 能 读 客体 ,又 能 写 该 客 
体 , 二 者 的 安全 级 也 必须 相等 。 

2 强制 访问 控制 的 实现 举例 

强制 访问 控制 已 经 在 许多 基于 安全 内 核 的 系统 中 得 以 实现 ,并 转换 到 许多 非 内 核 化 
的 操作 系统 中 ,包括 Honeywell 的 Muitics、DEC 的 SES/VMS 以 及 Sperry 公司 的 1100 
操作 系统 。 这 里 ,以 UNIX SVR 4. 1ES 安全 操作 系统 的 强制 访问 控制 机 制 为 例 , 加 以 
说 明 。 

安全 操作 系统 UNIX SVR 4. 1ES 的 强制 访问 控制 机 制 分 别 对 系统 中 的 主体 和 客体 
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赋予 了 相应 的 安全 级 ,并 采用 了 图 3-7 所 示 的 多 级 安全 规则 。 

1) 安全 级 赋值 

(1) 主体 的 安全 级 : 主体 的 安全 级 即 用 户 的 安全 级 以 及 代表 用 户 进行 工作 的 进程 安 
全 级 。 

用 户 的 安全 级 是 系统 管理 员 根 据 安 全 策略 ,使 用 adduser 命令 创建 用 户 时 设置 的 。 
系统 在 用 户 安全 文件 档 中 为 每 个 用 户 建立 一 项 ,表明 该 用 户 的 安全 级 范围 ,并 说 明 其 默认 
安全 级 ,默认 安全 级 在 该 用 户 的 安全 级 范围 之 内 。 

用 户 登 录 系 统 时 ,他 可 以 指定 本 次 登录 的 安全 级 ,指定 安全 级 必须 在 其 安全 级 范围 之 
内 。 成 功 登录 后 ,系统 将 用 户 本 次 指定 的 安全 级 设置 给 为 该 用 户 创建 的 SHELL 进程 。 
如 果 用 户 不 指定 登录 安全 级 ,系统 则 将 该 用 户 的 默认 安全 级 设置 给 为 该 用 户 创建 的 
SHELL 进程 。 

(2) 客体 的 安全 级 : 客体 安全 级 的 确定 和 赋值 ,是 根据 客体 的 类 型 按 以 下 规则 进 
行 的 。 

。 文件 ,有 名 管道 的 安全 级 : 文件 ,有 名 管道 的 安全 级 为 创建 该 客体 进程 的 安全 级 ， 

且 客 体 的 安全 级 必须 等 于 其 父 目 录 的 安全 级 ,保存 在 相应 的 磁盘 Inode 结 点 和 内 
存 Inode 结 点 

。 进程 .消息 队列 、 信 号 量 集合 和 共享 存储 区 : 这 组 类 型 的 客体 不 具有 文件 系统 表 
示 形 式 , 其 安全 级 为 创建 进程 的 安全 级 ,保存 在 内 存 相应 的 数据 索引 结构 中 。 

。 目录 的 安全 级 : 目录 同 普通 文件 一 样 ,在 它们 的 生存 周期 内 具有 一 个 安全 级 ,所 
不 同 的 是 目录 的 结构 须 满足 兼容 性 。 一 个 进程 创建 一 个 目录 ,目录 的 安全 级 即 创 
建 其 进程 的 安全 级 , 且 目 录 的 安全 级 须 大 于 或 等 于 其 父 目 录 的 安全 级 。 同 文件 一 
样 , 它 保存 在 相应 的 磁盘 Inode 结 点 和 内 存 Inode 结 点 中 。 

(3) 设备 的 安全 级 : 系统 在 设备 安全 文件 档 中 说 明 系 统 中 每 个 设备 的 安全 属性 ,如 
设备 的 最 高 安全 级 、 最 低 安全 级 等 。 设 备 还 具有 当前 安全 级 ,一 个 设备 的 当前 安全 级 为 调 
用 该 设备 的 用 户 进程 、 系 统 进程 或 系统 服务 进程 的 安全 级 。 设 备 的 当前 安全 级 必须 在 设 
备 的 最 大 安全 级 与 最 小 安全 级 之 间 。 

男 外 ,设备 分 为 单 级 设备 和 多 级 设备 。 

。 多 级 设备 可 以 包含 多 个 安全 级 数据 。 这 个 设备 只 能 由 具有 适当 特权 的 进程 打开 

(open) ,这 些 进程 包括 内 核 和 系统 进程 .具有 适当 特权 的 管理 员 进 程 。 磁 盘 和 存 
储 器 设备 就 是 多 级 设备 。 

。 单 级 设备 在 某 个 时 刻 只 能 处 理 单一 安全 级 的 数据 。 这 类 设备 包括 终端 和 用 于 某 
个 相应 状态 的 磁带 机 和 软盘 驱动 器 。 如 果 一 个 设备 用 作 一 个 公用 (public) 资 源 ， 
那么 它 必 须 是 单 级 设备 。 具 有 适当 特权 的 管理 员 可 以 将 这 些 设备 用 作 多 级 设备 。 
例如 产生 一 个 系统 的 磁带 备份 。 

通常 一 个 用 户 在 登录 时 访问 一 个 终端 设备 ,这 个 用 户 将 以 某 个 安全 级 在 该 终端 上 进 
和 人 系统。 如 果 这 个 安全 级 不 在 这 个 终端 所 定义 的 安全 级 范围 之 内 ,这 个 登录 就 会 失败 。 
如 果 登 录 成 功 ,这 个 设备 的 安全 级 就 被 设置 成 用 户 登 录 时 所 使 用 的 安全 级 。 
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要 使 用 磁带 或 软盘 设备 ， 0 a 用 户 必须 要 求 管理 员 分 配 
(allocate) 设 备 ,管理 员 以 某 个 安全 级 将 此 设备 分 配给 这 个 用 户 。 如 果 这 个 安全 级 不 在 设 
备 的 安全 级 范围 之 内 ,这 个 分 配 将 失败 。 如 果 成 功 ,用 户 就 成 为 这 个 设备 的 所 有 者 
(owner)。 文 件 的 DAC 设置 为 600 ,设备 安全 级 为 分 配 命令 中 给 定 的 安全 级 ,并 且 管 理 员 
将 通知 用 户 这 个 操作 已 经 成 功 。 如 果 用 户 当 前 的 安全 级 等 于 分 配 的 安全 级 ,用 户 就 可 以 
任意 地 使 用 这 些 设备 了 。 

还 有 少量 设备 不 属于 以 上 两 种 分 类 而 需要 特别 处 理 , 包 括 /dev/null /dev/zero、 
/dev/tty。 由 于 数据 并 不 流 过 这 些 设备 ,所 有 用 户 随时 可 以 访问 这 些 设备 。 

2) 强制 访问 控制 规则 

分 别 以 CLASS(S)、CLASS(O) 表 示 主 体 与 客体 的 安全 级 ,强制 访问 控制 规则 分 
别 为 : 

© if CLASS(S)>=CLASS(O) then Read(S,O) or Execute(S,0O); 

©@ if CLASS(S)=CLASS(O) then Write(S,O) or Append(S,O); 

其 中 ,安全 级 由 密级 和 类 别 两 部 分 组 成 。 分 别 以 S.1、S.c 表示 主体 的 密级 和 类 别 ,O.1、 
O.c 表示 客体 的 密级 和 类 别 ,授权 规则 可 表示 如 下 : 

。 当 (S.1>>=0.D) 且 (S.c 包 含 0.c) 时 ,主体 可 以 读 ( 执 行 ) 客 体 ; 

。 当 (S.1==0.D 且 (S.c=0.c) 时 ,主体 可 以 写 客体 。 

具体 来 说 就 是 : 

Q@ 客体 为 文件 特别 文件 .目录 时 

。 若 进程 以 r( 或 x) 方 式 访问 客体 ,进程 的 安全 级 须 支配 客体 的 安全 级 ; 
。 若 进程 以 w 方式 访问 客体 ,进程 的 安全 级 须 等 于 客体 的 安全 级 。 

@ 客体 为 进程 时 

若 进 程 向 另 一 3 前 者 进程 的 安全 级 须 等 于 后 者 进程 的 安全 级 。 

@ 客体 为 消息 队列 、 信 号 量 集合 .共享 存储 区 ,管道 时 

若 进程 以 r 或 w 方 式 访问 客体 ,进程 的 安全 级 须 等 于 客体 的 安全 级 。 


3. 使 用 强制 访问 控制 防止 特洛伊 木马 

防止 特洛伊 木马 侵入 系统 是 极端 困难 的 ,如 果 不 依赖 于 一 些 强制 手段 , 想 避 免 特洛伊 
木马 的 破坏 是 不 可 能 的 。 解 决 特 洛 伊 木 马 的 一 个 有 效 方法 是 使 用 强制 访问 控制 机 制 。 在 
强制 访问 控制 的 情况 下 ,对 于 违反 强制 访问 控制 的 特洛伊 木马 ,可 以 防止 它 取 走 信息 。 例 
如 在 多 级 安全 系统 中 , * 特性 能 阻止 正在 机 密 安全 级 上 运行 的 进程 中 的 特洛伊 木马 ,把 机 
密 信息 写 和 一 个 公开 的 文件 里 ,因为 用 机 密 进程 写 和 人 的 每 一 信息 的 安全 级 必须 至 少 是 机 
密级 的 。 

再 如 一 个 公司 对 系统 中 自己 拥有 的 信息 指定 强制 访问 范畴 ,只 有 该 公司 的 雇员 才 可 
能 进入 这 个 范畴 。 如 果 它 的 一 个 雇员 使 用 了 特洛伊 木马 ,他 不 可 能 将 该 公司 的 信息 传递 
到 这 个 范畴 以 外 的 地 方 去 ,但 在 这 个 范畴 里 ,信息 可 以 在 各 用 户 间 自由 传递 
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341 基本 思想 


在 安全 操作 系统 中 ,为 了 维护 系统 的 正常 运行 及 其 安全 策略 库 ,管理 员 往往 需要 一 定 
的 特权 直接 执行 一 些 受 限 的 操作 或 进行 超越 安全 策略 控制 的 访问 。 传 统 的 超级 用 户 特权 
管理 模式 , 即 超级 用 户 / 进 程 拥有 所 有 特权 ,而 普通 用 户 / 进 程 不 具有 任何 特权 ,便于 系统 
的 维护 和 配置 , 却 不 利于 系统 的 安全 性 。 一 旦 超级 用 户 的 口令 丢失 或 超级 用 户 被 冒充 ,将 
会 对 系统 造成 极 大 的 损失 。 另 外 ,超级 用 户 的 误 操 作 也 是 系统 极 大 的 潜在 安全 隐患 。 因 
此 ,TCSEC 标准 对 B2 级 以 上 安全 操作 系统 均 要 求 提供 最 小 特权 管理 安全 保证 。 

最 小 特权 管理 的 思想 是 系统 不 应 给 用 户 /管理 员 超 过 执行 任务 所 需 特权 以 外 的 特权 ， 
如 将 超级 用 户 的 特权 划分 为 一 组 细 粒 度 的 特权 ,分 别 授予 不 同 的 系统 操作 员 / 管 理 员 ,使 
各 种 系统 操作 员 / 管 理 员 只 具有 完成 其 任务 所 需 的 特权 ,从 而 减少 由 于 特权 用 户口 令 丢失 
或 错误 软件 .恶意 软件 . 误 操 作 所 引起 的 损失 。 

例如 可 在 系统 中 定义 5 个 特权 管理 职责 ,任何 一 个 用 户 都 不 能 获取 足够 的 权力 破坏 
系统 的 安全 策略 。 

为 保证 系统 的 安全 性 ,不 应 对 某 个 人 赋予 一 个 以 上 的 职责 。 当 然 如 果 需 要 ,也 可 以 对 
它们 进行 改变 和 增加 ,但 必须 考虑 这 些 改变 和 增加 对 系统 安全 的 影响 。 


1. 系统 安全 管理 员 (SSO) 

系统 安全 管理 员 职 责 : 

(1) 对 系统 资源 和 应 用 定义 安全 级 ; 

(2) 限制 隐蔽 通道 活动 的 机 制 ; 

(3) 定义 用 户 和 自主 访问 控制 的 组 ; 

(4) 为 所 有 用 户 赋予 安全 级 。 

SSO 并 不 控制 安全 审计 功能 ,这 些 功能 属于 AUD 的 职责 ,SSO 应 熟悉 应 用 环境 的 安 
全 策略 和 安全 习惯 ,以 便 能 够 做 出 与 系统 安全 性 相关 的 决定 。 


2 审计 员 (ALD) 

审计 员 负 责 安全 审计 系统 的 控制 。 

审计 员 职 责 : 

(1) 设置 审计 参数 ; 

(2) 修改 和 删除 审计 系统 产生 的 原始 信息 (审计 信息 ); 

(3) 控制 审计 归档 。 

AUD 和 SSO 形成 了 一 个 “检查 平衡 (check and balance)” 系 统 。 因 为 ,SSO 设置 和 
实施 安全 策略 ,AUD 控制 审计 信息 表明 安全 策略 已 被 实施 且 没 有 被 焉 曲 。 


3 操作 员 (CP) 
操作 员 完 成 常规 的 、 非 关键 性 操作 。 
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操作 员 职 责 : 

(1) 启动 和 停止 系统 ,以 及 磁盘 一 致 性 检查 等 操作 ; 

(2) 格式 化 新 的 介质 ; 

(3) 设置 终端 参数 ; 

(4) 人 允许 或 不 允许 登录 ,但 不 能 改变 口令 .用户 的 安全 级 和 其 他 有 关 安 全 性 的 登录 
参数 ; 

(5) 产生 原始 的 系统 记 账 数据 。 

尽管 这 些 功能 在 广义 上 也 影响 系统 安全 性 ,但 它们 不 影响 可 信 计 算 基 (CTCB) ,因为 
OP 不 能 做 影响 安全 级 的 操作 。 


4 安全 操作 员 (SCP) 

安全 操作 员 完 成 那些 类 似 于 OP 职责 的 日 常 的 例 行 活动 ,但 是 其 中 的 一 些 活动 是 与 
安全 性 有 关 的 ,如 安全 级 定义 。 可 以 认为 SOP 是 具有 特权 能 力 的 OP。 

安全 操作 员 职 责 : 

(1) 完成 OP 的 所 有 责任 ; 

(2) 例 行 的 备份 和 恢复 ; 

(3) 安装 和 拆 印 可 安装 介质 。 


5 网 络 管理 员 (NED 

网 络 管理 员 负责 所 有 网 络 通信 的 管理 。 

网 络 管理 员 职 责 : 

(1) 管理 网 络 软件 ,如 TCP/IP; 

(2) 设置 BUN 文件 ,允许 使 用 uucp、uuto 等 进行 网 络 通信 ; 

(3) 设置 为 连接 服务 器 .CRI 认证 机 构 ID 映射 机 构 、 地 址 映射 机 构 和 网 络 选择 有 关 
的 管理 文件 ; 

(4) 启动 和 停止 RFS, 通 过 RFS 共享 和 安装 资源 ; 

(5) 启动 和 停止 NFS, 通 过 NFS 共享 和 安装 资源 。 


342 PCSIX 权 能 机 制 


权能 (capability) 是 一 种 用 于 实现 恰当 特权 的 能 力 令 牌 。 基 于 权能 的 最 小 特权 控制 

最 早 是 由 Dennis 提出 的 ,早期 的 安全 系统 允许 进程 本 身 携带 一 组 对 特定 客体 的 访问 权 ， 
并 且 在 允许 的 情况 下 ,一 个 进程 可 以 在 任何 时 候 放 弃 或 收回 它 的 一 些 权 能 。POSIX 权能 
机 制 与 传统 的 权能 机 制 类 似 , 但 是 它 为 系统 提供 了 更 为 便利 的 权能 管理 和 控制 : 一 是 它 
提供 了 为 系统 进程 指派 一 个 权能 去 调用 或 执行 受 限 系统 服务 的 便携 方法 ;二 是 它 提供 了 
一 种 使 进程 只 能 调用 执行 其 特定 任务 必需 权能 的 限制 方法 ,支持 最 小 特权 安全 策略 的 实 
现 。 更 确切 地 说 ,POSIX 权能 机 制 提供 了 一 种 比 超级 用 户 模式 更 细 粒 度 的 授权 控制 , 它 
将 特权 划分 成 一 个 权能 集合 。 再 者 , 它 认 为 进程 在 系统 中 是 一 个 动态 特征 很 强 的 对 象 , 不 
E 只 为 它 建 立 一 个 固定 的 、 进 程 链 生 命 周 期 内 一 直 生 效 的 权能 集 ,需要 提供 一 种 基于 进程 
所 运行 上 下 文 控制 进程 权能 的 方法 ,所 以 通过 进程 和 程序 文件 权能 状态 (许可 和 集 、 可 继承 
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集 和 有 效 集 ) , 它 明 确定 义 了 进程 如 何 获取 和 改变 权能 的 语义 ,具体 描述 如 下 : 

(1) 可 继承 权能 集 。 进 程 的 可 继承 权能 集 , 记 为 pI, 它 决定 一 个 进程 执行 程序 时 可 被 
保留 的 权能 ;程序 文件 的 可 继承 权能 集 , 记 为 [I, 它 决定 执行 该 程序 产生 的 进程 可 遗传 给 
其 后 续 进 程 、 其 父 进程 也 拥有 的 权能 。 

(2) 许可 权能 集 。 进 程 的 许可 权能 集 , 记 为 pP, 它 决定 当前 进程 允许 生效 的 最 大 权 
能 集合 ;程序 文件 的 许可 权能 集 , 记 为 让 ,是 确保 程序 执行 产生 的 进程 能 够 正确 地 完成 其 
功能 所 需 的 权能 ,与 调用 它 的 进程 是 否 具 有 这 些 权能 无 关 。 

(3) 有 效 权能 集 。 进 程 的 有 效 权能 集 , 记 为 pE, 它 决定 当前 进程 中 生效 的 权能 集合 ; 
程序 文件 的 有 效 权能 集 , 记 为 丰 , 它 决定 程序 执行 产生 的 进程 映像 将 拥有 的 有 效 进程 权 
能 集 。 

这 些 权 能 集合 的 定义 详细 地 描述 了 POSIX 标准 关于 一 个 主体 执行 一 个 客体 (可 执行 
文件 ) 时 进行 安全 权能 遗传 的 基本 原则 , 即 一 个 由 程序 文件 实例 化 产生 的 进程 映像 ,exec 
系统 调用 可 以 为 其 限定 最 大 权能 范围 : 一 方面 ,执行 程序 的 主体 进程 映像 能 够 限制 程序 
实例 化 的 进程 映像 的 权能 ; 另 一 方面 ,可 以 基于 程序 文件 的 权能 状态 ,为 其 实例 化 的 进程 
增加 一 个 或 多 个 其 前 驱 进程 所 不 允许 的 权能 。 因 此 ,权能 遗传 机 制 的 目标 是 根据 进程 的 
安全 上 下 文 , 比 如 执行 程序 的 主体 身份 (用 户 或 角色 ) .主体 原来 的 权能 状态 .程序 的 权能 
状态 等 ,如 图 3-8 所 示 , 计 算出 当前 主体 进程 的 权能 状态 。 
fP, fE, fl 
权能 状态 


权能 状态 


新 的 进程 映像 


exec j=| 新 的 进程 映像 | 一 … - 


t t 
权能 状态 权能 状态 
PpP’, pE’, pl 


图 3-8 权能 遗传 过 程 


目前 ,Linux2. 2.0 以 上 版 本 为 了 支持 权能 机 制 ,实现 的 权能 遗传 算法 如 下 : 
pl'=pI 
pP'=(fP8&.X)| (I8.pD) 
pE’'=pP' &{E 
其 中 ,X 表示 系统 所 有 进程 允许 的 最 大 权能 集合 。 当 一 个 主体 进程 请 求 执行 一 个 客体 时 
要 调用 exec, 这 个 系统 调用 检查 主体 对 目标 客体 的 访问 ,如 果 访 问 允许 , 则 为 该 进程 创建 
一 个 新 的 地 址 空间 ,包括 指令 区 间 和 程序 数据 区 间 , 同 时 ,该 主体 以 前 的 指令 空间 和 数据 
不 再 能 访问 。 再 者 ,除了 标记 为 close-on-exec 的 打开 文件 描述 符 被 关闭 之 外 ,主体 打开 
的 其 他 所 有 文件 描述 符 均 被 保留 下 来 ,而 主体 的 验证 需要 作 如 下 修改 : 
(1) 如 果 程 序 文件 的 setuid 位 被 置 为 1, 则 主体 的 有 效用 户 标 识 euid 将 被 设置 为 文 
44 


E6966 第 3 章 安全 机 制 。 mmm 


件 的 属 主 ,否则 保持 不 变 ; 

(2) 如 果 程 序 文件 的 setgid 位 被 置 1, 则 主体 的 有 效 组 标识 egid 将 被 设置 为 文件 的 
属 组 ,否则 保持 不 变 ; 

(3) 根据 权能 遗传 算法 ,修改 当前 主体 的 权能 状态 。 

但 是 ,Linux 核心 仅 提供 POSIX 支持 ,并 没有 真正 实现 程序 文件 的 权能 控制 ,所 以 上 
述 权能 遗传 算法 中 对 应 的 程序 文件 的 权能 集 值 或 最 大 或 为 0, 这 取决 于 进程 的 真实 用 户 
标识 和 有 效用 户 标 识 值 为 0 还 是 为 非 0, 同 时 进程 的 有 效 权 能 集 也 是 或 为 全 部 权能 或 
为 空 。 


343 特权 细 分 


根据 POSIX 标准 要 求 ,可 将 超级 用 户 特权 细 分 为 权能 集合 ,但 必须 满足 权能 选择 的 
如 下 准则 : 

。 一 个 权能 应 该 允许 系统 使 一 个 进程 不 受 一 个 特定 安全 需求 的 约束 。 

。 on ee 该 有 最 小 交集 。 

。 在 支持 以 上 两 条 的 基础 上 ,权能 定义 得 越 少 越 好 。 

例如 ,将 系统 能 够 进行 敏感 操作 的 能 力 ( 如 超级 用 户 的 权力 ) 细 分 成 26 个 权能 (如 
下 ) ,由 一 些 特权 用 户 分 别 掌握 这 些 权能 ,这 些 特权 用 户 哪 一 个 都 不 能 独立 完成 所 有 的 敏 
感 操 作 。 oil 不 可 能 授予 用 户 特 权 完 成 这 些 敏 感 任 
务 。 系 统 的 特权 管理 机 制 维护 一 个 管理 员 数 据 库 ,提供 执行 特权 命令 的 方法 。 所 有 用 户 
进程 一 oo 人 
程 ,非特 权 用 户 可 以 执行 特权 命令 。 系 统 定 义 了 许多 职责 ,一 个 用 户 与 一 个 职责 相关 联 。 
职责 中 又 定义 了 与 之 相关 的 特权 命令 Us 


1 CAP ONWNER 

(1) 该 权能 可 以 超越 限制 文件 主 ID 必须 等 于 用 户 ID 的 场合 ,如 改变 该 有 效用 户 标 
识 符 所 属 的 文件 属性 ; 

(2) 拥有 该 权能 可 以 改变 文件 的 属 主 或 属 组 (如 chown() .chgrp()); 

(3) 可 以 超越 IPC 的 属 主 关系 检查 ; 

(4) 两 进程 间 通信 时 ,它们 的 真实 UID 或 有 效 UID 必须 相等 ,但 拥有 该 权能 可 以 超 
越 此 规则 。 

2 CAP ALDIT 

(1) 拥有 该 权能 可 以 操作 安全 审计 机 制 ; 

(2) 写 各 种 审计 记录 。 

3 CAP CCMPAT 

拥有 该 权能 可 以 超越 限制 隐蔽 通道 所 做 的 特别 约束 。 


4 CAP DACREAD 
拥有 该 权能 可 以 超越 自主 访问 控制 (DAC) 读 检查 。 
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5 CAP DACWRITE 

拥有 该 权能 可 以 超越 自主 访问 控制 (DAC) 写 检查 。 

6 OP DEV 

当 设备 处 于 私有 状态 时 设置 或 获取 设备 安全 属性 以 改变 设备 级 别 并 访问 设备 。 
7. CAP HLESYS 

对 文件 系统 进行 特权 操作 ,包括 创建 与 目录 的 连接 、 设 置 有 效 根 目录 、 制 作 特别 文件 。 
8 CAP MACREAD 

拥有 该 权能 可 以 超越 强制 访问 控制 (MAC) 读 检查 。 

9 CAP MONATE 

拥有 该 权能 可 以 超越 强制 访问 控制 (MAC) 写 检查 。 

10 CP MOUNT 

拥有 该 权能 可 以 安装 或 印 下 一 个 文件 系统 。 

11. CAP MULTIDIR 

拥有 该 权能 可 以 创建 多 级 目录 。 

12 CAP SETPLEMB 

拥有 该 权能 可 以 改变 进程 安全 级 (包括 当前 进程 本 身 的 安全 级 ) 。 

13 CAP SETSPRV 

(1) 管理 权能 ,用 于 给 文件 设置 可 继承 和 固定 特权 ; 

(2) 拥有 该 权能 ,可 以 超越 访问 和 所 有 权限 制 。 

人 4 CAP SETIUD 

拥有 该 权能 可 以 设置 进程 的 真实 、 有 效用 户 / 组 标识 符 ( 如 setuid() 、setgid())。 
15 CAP SYSCPS 

拥有 该 权能 可 以 完成 几 个 非 关 键 安全 性 的 系统 操作 ,包括 配置 进程 记 账 维护 系统 时 


钟 、 提 高 或 设置 其 他 进程 的 优先 级 .设置 进程 调度 算法 、 系 统 修复 .修改 S_IMMUTABLE 
和 S_APPEND 文件 属性 等 。 


46 


16 CAP SETUPRV 
用 于 非特 权 进 程 设置 文件 的 权能 状态 ,该 权能 不 能 超越 访问 和 所 有 权 的 限制 。 


17 CAP_ MACUPGRADE 

允许 进程 升级 文件 安全 级 (升级 后 的 安全 级 被 进程 安全 级 支配 ) 。 
18 CAP FSYSRANSE 

拥有 该 权能 可 以 超越 文件 系统 范围 限制 。 


19 CAP SETFLEWB 
拥有 该 权能 可 以 改变 客体 安全 级 ( 块 /字符 特别 文件 应 处 于 public 态 ) 。 


20 CAP_ ROCK 
上 锁 一 个 内 存 中 的 进程 ,上 锁 共享 内 存 段 。 

21 CAP_OCFE 

用 于 转 储 特权 进程 .setuid 进程 .setgid 进程 的 核心 影像。 

2 CAP LONDVCD 

用 于 完成 与 可 安装 模块 相关 的 可 选择 操作 ,如 安装 或 删除 核心 可 加 载 模块 。 
BP SEC CP 


拥有 该 权能 可 以 完成 安全 性 有 关 的 系统 操作 ,包括 配置 可 信 路 径 的 安全 注意 键 , 设 置 
加 密 密 钥 等 。 


24 CAP DEV 
拥有 该 权能 可 以 对 计算 机 设备 进行 管理 ,包括 配置 终端 参数 .串口 参数 ,配置 磁盘 参 
数 等 。 


和 5 CAP_ CP 
拥有 该 权能 可 以 进行 开机 、 关 机 操作 。 


26 CAP_ NET ADMN 
拥有 该 权能 可 以 对 计算 机 进行 与 网 络 有 关 的 操作 ,包括 可 以 使 用 RAW、PACKET 
端口 号 ,可 以 绑 定 端口 号 低 于 1024 端口 ,可 以 进行 网 卡 接口 配置 .路 由 表 配 置 ,等 等 。 


344 一 个 最 小 特权 管理 机 制 的 实现 举例 


特权 是 超越 访问 控制 限制 的 能 力 , 它 和 访问 控制 结合 使 用 ,提高 了 系统 的 灵活 性 。 普 
通用 户 不 能 使 用 特权 命令 ,系统 管理 员 在 特权 管理 机 制 的 规则 下 使 用 特权 命令 。 代 表 管 
理 员 工作 的 进程 具有 一 定 特权 , 它 可 以 超越 访问 控制 完成 一 些 敏 感 操作 , 即 任何 企图 超越 
强制 访问 控制 和 自主 访问 控制 的 特权 任务 ,都 必须 通过 特权 机 制 的 检查 。 

一 种 最 小 特权 管理 实现 的 方法 是 ,对 可 执行 文件 赋予 相应 的 特权 集 , 对 于 系统 中 的 每 
个 进程 ,根据 其 执行 的 程序 和 所 代表 的 用 户 ,赋予 相应 的 特权 集 。 一 进程 请 求 一 个 特权 操 
作 ( 如 mount) ,将 调用 特权 管理 机 制 ,判断 该 进程 的 特权 集中 是 否 具 有 这 种 操作 特权 。 

这 样 特权 不 再 与 用 户 标识 相关 ,已 不 是 基于 用 户 ID 了 , 它 直 接 与 进程 和 可 执行 文件 
相关 联 。 一 个 新 进程 继承 的 特权 既 有 进程 的 特权 ,也 有 所 和 运行 文件 的 特权 ,一 般 把 这 种 机 
制 称 为 “基于 文件 的 特权 机 制 ”。 这 种 机 制 的 最 大 优点 是 特权 的 细 化 , 它 的 可 继承 性 提供 
了 一 种 执行 进程 中 增加 特权 的 能 力 。 因 此 对 于 一 个 新 进程 ,如 果 没 有 明确 赋予 特权 的 继 
承 性 , 它 就 不 会 继承 任何 特权 。 

系统 中 不 再 有 超级 用 户 ,而 是 根据 敏感 操作 分 类 ,使 同一 类 敏感 操作 具有 相同 特权 。 
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例如 许多 命令 需要 超越 强制 访问 控制 的 限制 读 取 文 件 , 这 样 在 系统 中 就 可 以 定义 一 个 
CAP_MACREAD 特权 ,使 这 类 命令 的 可 继承 特权 集中 包含 此 特权 ,于 是 执行 其 中 某 个 命 
令 的 进程 如 果 先 前 已 经 具有 此 特权 ,那么 它 就 可 以 不 受 强制 访问 控制 (MAC) 读 的 限制 。 


1 文件 的 特权 

可 执行 文件 具有 两 个 特权 集 , 当 通过 exec 进行 系统 调用 时 ,进行 特权 的 计算 和 转换 。 

(1) 固定 特权 集 : 固有 的 特权 ,与 调用 进程 或 父 进程 无 关 , 将 全 部 传递 给 执行 它 的 
进程 。 
(2) 可 继承 特权 集 : 只 有 当 调 用 进程 具有 这 些 特权 时 ,才能 激活 这 些 特权 。 
这 两 个 集合 是 不 能 重合 的 , 即 固定 特权 集 与 可 继承 特权 集 不 能 共有 一 个 特权 。 当 然 
可 执行 文件 也 可 以 没有 任何 特权 。 

当 文件 的 属性 被 修改 时 (例如 ,文件 打开 写 或 改变 它 的 模式 ), 它 的 特权 会 被 删 去 ,这 
将 导致 从 可 信 计 算 基 中 删除 此 文件 。 因 此 如 果 要 再 次 运行 此 文件 ,必须 重新 给 它 设 置 
特权 。 


2 进程 的 特权 

当 fork 一 个 子 进程 时 ,父子 进程 的 特权 是 一 样 的 。 但 是 当 通 过 exec 执行 某 个 可 执 
行文 件 时 ,进程 的 特权 决定 于 调用 进程 的 特权 集 和 可 执行 文件 的 特权 集 。 

每 个 进程 都 具有 下 面 两 个 特权 集 。 

(1) 最 大 特权 集 : 包含 固定 的 和 可 继承 的 所 有 特权 。 

(2) 工作 特权 集 : 进程 当前 使 用 的 特权 集 。 

新 进程 的 工作 特权 集 和 最 大 特权 集 的 计算 是 基于 文件 和 进程 具有 的 特权 的 。 当 通过 
系统 调用 exec() 执 行 一 个 可 执行 文件 时 ,如 图 3-9 所 示 , 用 下 述 方法 计算 新 进程 的 特权 : 

(1) 调用 进程 的 最 大 特权 集 与 可 执行 文件 的 可 继承 特权 集 ; 

(2) 然后 加 上 文件 的 固定 特权 集 。 


exec() 


最 大 特权 集 {3,5.9} | 一 最 大 特权 集 {2.3.69} 
调用 进程 
工作 特权 集 {5.9} | : 


-UN 调用 进程 
~、 可 继承 特权 集 {3,9} 
可 执行 


| 


| 工作 特权 集 {2.3,6,9) 
文件 
Ws 辕 定 特权 集 (2.6} 


图 3-9 ”exec() 一 个 新 进程 时 的 特权 计算 


fork() 产 生 一 个 新 进程 时 , 父 进程 的 特权 传递 给 子 进 程 。 要 将 一 个 特权 传递 给 一 个 
新 进程 ,或 者 当前 进程 的 最 大 特权 集中 具有 该 特权 ,或 者 可 执行 文件 的 固定 特权 集中 具有 
该 特权 。 


| 本 可 信和 路 径 


在 计算 机 系统 中 ,用 户 是 通过 不 可 信和 的 中 间 应 用 层 和 操作 系统 相互 作用 的 。 但 用 户 
登录 ,定义 用 户 的 安全 属性 ,改变 文件 的 安全 级 等 操作 ,用 户 必须 确实 与 安全 核心 通信 ,而 
不 是 与 一 个 特洛伊 木马 打交道 。 系 统 必须 防止 特洛伊 木马 模仿 登录 过 程 , 穷 取 用 户 的 口 
令 。 特 权 用 户 在 进行 特权 操作 时 ,也 要 有 办 法 证 实 从 终端 上 输出 的 信息 是 正确 的 ,而 不 是 
来 自 于 特洛伊 木马。 这 些 都 需要 一 个 机 制 保障 用 户 和 内 核 的 通信 ,这 种 机 制 就 是 由 可 信 
路 径 提 供 的 。 

提供 可 信 路 径 的 一 个 办 法 是 给 每 个 用 户 两 台 终 端 ,一 台 做 通常 的 工作 ,一 台 用 作 与 内 
核 的 硬 连接 。 这 种 办 法 虽然 十 分 简单 ,但 太 昂贵 了 。 对 用 户 建立 可 信 路 径 的 一 种 现实 方 
法 是 使 用 通用 终端 ,通过 发 信号 给 核心 。 这 个 信号 是 不 可 信和 软件 不 能 拦截 覆盖 或 伪造 
的 。 一 般 称 这 个 信号 为 “安全 注意 键 ”。 早 先 实现 可 信 路 径 的 做 法 是 通过 终端 上 的 一 些 由 
内 核 控制 的 特殊 信号 或 屏幕 上 空 出 的 特殊 区 域 , 用 于 和 内 核 的 通信 。 今 天 大 多 数 终端 已 
经 十 分 智能 ,内 核 要 使 该 机 制 不 被 特洛伊 木马 欺骗 是 十 分 困难 的 。 

为 了 使 用 户 确 信 自己 的 用 户 名 和 口令 不 被 别人 人 穷 走 ,Linux 提供 了 “安全 注意 键 ”。 
安全 注意 键 (Secure Attention Key，SAK ) 是 一 个 键 或 一 组 键 ( 在 X86 平台 上 ,SAK 是 
ALT-SysRq-k), 按 下 它 ( 们 ) 后 ,保证 用 户 看 到 真正 的 登录 提示 ,而 非 登 录 模 拟 器 。 也 即 
它 保 证 是 真正 的 登录 程序 (而 非 登 录 模 拟 器 ) 读 取 用 户 的 账号 和 口令 ( 详 见 linux/drivers/ 
char/sysrq.c 和 linux/drivers/char/tty_io. c: : do_SAK)。SAK 可 以 用 下 面 命令 来 
激活 : 

echo "1"> /proc/sys/kermel/sysrq 

严格 地 说 ,Linux 中 的 SAK 并 未 构成 一 个 可 信 路 径 ,因为 尽管 它 会 杀 死 正在 监听 终 
端 设备 的 登录 模拟 器 ,但 它 不 能 阻止 登录 模拟 器 在 按 下 SAK 后 立即 开始 监听 终端 设备 ， 
事实 上 实现 这 样 的 登录 模拟 器 并 不 难 。 当 然 由 于 Linux 限制 用 户 使 用 原始 设备 的 特权 ， 
普通 用 户 无 法 执行 这 种 高 级 模拟 器 ,而 只 能 以 ROOT 身份 运行 ,这 就 减少 了 它 所 带 来 的 
威胁 。 


“3.6 安全 审计 


361 审计 的 概念 


一 个 系统 的 安全 审计 就 是 对 系统 中 有 关 安 全 的 活动 进行 记录 、 检 查 及 审核 。 它 的 主 

要 目的 就 是 检测 和 阻止 非法 用 户 对 计算 机 系统 的 入 侵 ,并 显示 合法 用 户 的 误 操作 。 审 计 
作为 一 种 事后 追查 的 手段 来 保证 系统 的 安全 , 它 对 涉及 系统 安全 的 操作 做 一 个 完整 的 记 
录 。 审 计 为 系统 进行 事故 原因 的 查询 、 定 位 ,事故 发 生前 的 预测 、 报 警 以 及 事故 发 生 之 后 
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的 实时 处 理 提供 详细 .可靠 的 依据 和 支持 ,以 备 有 违反 系统 安全 规则 的 事件 发 生 后 能 够 有 
效 地 追查 事件 发 生 的 地 点 和 过 程 以 及 责任 人 。 

因此 审计 是 操作 系统 安全 的 一 个 重要 方面 ,安全 操作 系统 也 都 要 求 用 审计 方法 监视 
安全 相关 的 活动 。 美 国 国防 部 的 橘 皮 书 中 就 明确 要 求 *“ 可 信 计 算 机 必须 向 授权 人 员 提 供 
一 种 能 力 ,以 便 对 访问 、 生 成 或 泄露 秘密 或 敏感 信息 的 任何 活动 进行 审计 。 根 据 一 个 特定 
机 制 或 特定 应 用 的 审计 要 求 , 可 以 有 选择 地 获取 审计 数据 。 但 审计 数据 中 必须 有 足够 细 
的 粒度 ,以 支持 对 一 个 特定 个 体 已 发 生 的 动作 或 代表 该 个 体 发 生 的 动作 进行 追踪 ”。 在 我 
国 GB 17859 一 1999 中 也 有 相应 的 要 求 。 

如 果 将 审计 和 报警 功能 结合 起 来 , 那 就 可 以 做 到 每 当 有 违反 系统 安全 的 事件 发 生 或 
者 有 涉及 系统 安全 的 重要 操作 进行 时 ,就 及 时 向 安全 操作 员 终 端 发 送 相应 的 报警 信息 。 
审计 过 程 一 般 是 一 个 独立 的 过 程 , 它 应 与 系统 其 他 功能 相隔 离 。 同 时 要 求 操作 系统 必须 
能 够 生成 、 维 护 及 保护 审计 过 程 , 使 其 免 遭 修改 ,非法 访问 及 毁坏 ,特别 要 保护 审计 数据 ， 
要 严格 限制 未 经 授权 的 用 户 访问 它 。 


362 审计 事件 


审计 事件 是 系统 审计 用 户 操 作 的 最 基本 单位 。 系 统 将 所 有 要 求 审 计 或 可 以 审计 的 用 
户 动作 都 归纳 成 一 个 个 可 区 分 .可 识别 .可 标志 用 户 行为 和 可 记录 的 审计 单位 , 即 审计 
事件 。 

例如 创建 一 个 名 为 filel 的 文件 ,这 一 动作 是 通过 系统 调用 create(“filel”,mode) 或 
open(“filel”,O_CREATE,mode) 实 现 的 ,为 了 能 反映 用 户 的 这 一 动作 ,系统 可 以 设置 事 
件 create, 这 个 事件 就 在 用 户 调用 上 述 系统 调用 时 由 核心 记录 下 来 。 

审计 机 制 对 系统 、 用 户主 体 、 对 象 ( 包 括 文件 消息、 信号 量 、 共 享 区 等 ) 都 可 以 定义 为 
要 求 被 审计 的 事件 集 。 

安全 操作 系统 一 般 将 要 审计 的 事件 分 成 3 类 : 注册 事件 ,使 用 系统 的 事件 及 利用 隐 
蔽 通道 的 事件 。 亦 即 标识 和 鉴别 机 制 的 使 用 .把 客体 引入 到 用 户 的 地 址 空间 (如 创建 文 
件 、 启 动 程序 )、 从 地 址 空间 删除 客体 、 特 权 用 户 所 发 生 的 动作 以 及 利用 隐蔽 存储 通道 的 事 
件 等 。 第 1 类 属于 系统 外 部 事件 , 即 准备 进入 系统 的 用 户 产 生 的 事件 ;后 两 类 属于 系统 内 
部 事件 , 即 已 经 进入 系统 的 用 户 产 生 的 事件 。 

审计 机 制 一 般 对 系统 定义 了 一 个 固定 审计 事件 集 , 即 必须 审计 事件 的 集合 。 对 用 户 
来 讲 , 系 统 可 以 通过 设置 来 要 求 审计 哪些 事件 , 即 用户 事 件 标准 。 用 户 的 操作 处 于 系统 监 
视 之 下 ,一 旦 其 行为 落 入 其 用 户 事件 集 或 系统 固定 审计 事件 集中 ,系统 就 会 将 这 一 信息 记 
录 下 来 。 否 则 系统 将 不 对 该 事件 进行 审计 。 

显然 审计 过 程 会 增 大 系统 的 开销 (CPU 时 间 和 存储 空间 ) ,如 果 设 置 的 审计 事件 过 
多 ,势必 使 系统 的 性 能 相应 地 下 降 很 多 (如 响应 时 间 、 运 行 速度 等 ), 所 以 在 实际 设置 过 程 
中 ,审计 机 制 应 是 对 用 户 在 系统 中 行为 的 一 种 有 选择 的 记载 ,要 选择 最 主要 的 事件 加 以 审 
计 , 不 能 设置 太 多 的 审计 事件 ,以 免 过 多 影响 系统 性 能 。 系 统 审 计 员 可 以 通过 设置 审计 事 
件 标准 ,确定 对 系统 中 哪些 用 户 或 哪些 事件 进行 审计 ,审计 的 结果 存放 于 审计 日 志文 件 
中 ,审计 的 结果 也 可 以 按 要 求 的 报表 形式 打印 出 来 。 
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363 审计 记录 和 审计 日 志 

安全 操作 系统 的 审计 记录 一 般 应 包括 如 下 信息 : 事件 的 日 期 和 时 间 、 代 表 正 在 进行 
事件 的 主体 的 唯一 标识 符 .事件 的 类 型 事件 的 成 功 与 失败 等 。 对 于 标识 与 鉴别 事件 , 审 
计 记 录 应 该 记录 下 事件 发 生 的 源 地 点 (如 终端 标识 符 ) 。 对 于 将 一 个 客体 引入 某 个 用 户 地 
址 空间 的 事件 以 及 删除 客体 的 事件 ,审计 记录 应 该 包括 客体 名 以 及 客体 的 安全 级 。 

审计 日 志 是 存放 审计 结果 的 二 进 制 码 结构 文件 。 每 次 审计 进程 开启 后 ,都 会 按照 已 
设 定好 的 路 径 和 命名 规则 产生 一 个 新 的 日 志文 件 。 

男 外 ,系统 审计 员 可 以 打印 存在 于 审计 日 志文 件 中 的 审计 结果 ,并 且 还 可 以 选择 打印 
自己 所 需要 的 内 容 , 例 如 选择 某 些 用 户 的 记录 、 某 个 时 间 以 后 的 记录 或 只 涉及 某 些 事件 的 
记录 ,等 等 。 


364 一 般 操作 系统 审计 的 实现 


实现 审计 机 制 ,首先 要 解决 的 问题 是 系统 如 何 才 能 保证 所 有 安全 相关 的 事件 都 能 够 
被 审计 。 我 们 知道 一 般 的 多 用 户 多 进程 操作 系统 (如 UNIX、Linux 等 ) 中 ,用 户 程序 与 操 
作 系 统 的 唯一 接口 是 系统 调用 ,也 就 是 说 当 用 户 请 求 系统 服务 时 ,必须 经 过 系统 调用 。 因 
此 ,如 果 能 够 找到 系统 调用 的 总 人 口 ,在 此 处 ( 称 作 审计 点 ) 增 加 审计 控制 ,就 可 以 成 功 地 
审计 系统 调用 ,也 就 成 功 地 审计 了 系统 中 所 有 使 用 内 核 服 务 的 事件 。 

系统 中 有 一 些 特权 命令 应 当 属 于 可 审计 事件 。 通 常 一 个 特权 命令 需要 使 用 多 个 系统 
调用 ,逐个 审计 所 用 到 的 系统 调用 ,会 使 审计 数据 复杂 而 难于 理解 ,审计 员 很 难 判 断 出 命 
令 的 使 用 情况 。 因 此 虽然 系统 调用 的 审计 已 经 是 十 分 充分 ,特权 命令 的 审计 仍然 必要 。 
在 被 审计 的 特权 命令 的 每 个 可 能 的 出 口 处 应 增加 一 个 新 的 系统 调用 ,专门 用 于 该 命令 的 
审计 。 当 发 生 可 审计 事件 时 ,要 在 审计 点 调用 审计 函数 并 向 审计 进程 发 消息 ,由 审计 进程 
完成 审计 信息 的 缓冲 .存储 归档 工作 。 虽 然 审 计 事 件 及 审计 点 处 理 可 能 各 不 相同 ,但 审 
计 信 息 都 要 经 过 写 缓冲 区 、 写 盘 、 再 归档 ,这 部 分 操作 过 程 是 相同 的 。 因 此 可 把 它 放 在 审 
计 进 程 内 完成 ,其 余 工作 在 审计 点 完成 。 另 外 ,审计 机 制 应 当 提 供 灵活 的 选择 手段 ,使 审 
计 员 可 以 开启 /关闭 审计 机 制 ,增加 /减少 系统 审计 事件 类 型 ,增加 /减少 用 户 审计 事件 类 
型 ,修改 审计 控制 参数 等 。 

可 审计 事件 是 否 被 写 入 审计 日 志 , 需 要 进行 判定 ,所 以 可 在 有 关 事 件 操作 的 程序 人 
处 .出 口 处 设置 审计 点 。 在 入 口 处 审计 点 进行 审计 条 件 的 判断 ,如 果 需 要 审计 , 则 设置 审 
计 状 态 和 分 配 内 存 空 间 。 在 程序 的 出 口 处 审计 点 收集 审计 内 容 , 包 括 操作 的 类 型 .参数 、 
结果 等 ,如 图 3-10 所 示 。 

一 般 情况 下 ,审计 在 系统 开机 引导 时 就 会 自动 开启 ,审计 管理 员 可 以 随时 关闭 审计 功 
能 。 审 计 功能 被 关闭 后 ,任何 用 户 的 任何 动作 就 不 再 处 于 审计 系统 的 监视 之 下 ,也 不 再 记 
录 任 何 审计 信息 。 

系统 在 记录 用 户 的 审计 信息 时 ,要 将 这 些 信息 写 入 审计 日 志文 件 之 中 ,这 自然 会 给 系 
统 带 来 一 些 时 间 上 的 开销 ,影响 系统 的 性 能 。 为 了 将 这 种 时 间 开 销 减 少 到 最 低 程度 ,审计 
系统 不 必 每 次 有 一 条 记录 时 就 立即 写 人 审计 日 志文 件 中 ,可 在 系统 中 开辟 一 片 审计 缓冲 
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区 。 系 统 在 大 多 数 情况 下 只 需 将 审计 信息 写 入 审计 缓冲 区 中 ,只 是 在 缓冲 区 已 经 写 满 或 
者 其 中 容量 达到 规定 的 限度 时 ,审计 进程 才 一 次 性 地 将 审计 缓冲 区 中 的 有 效 内 容 全 部 写 
入 日 志文 件 中 。 

系统 审计 员 可 以 用 文档 或 报告 的 形式 打印 出 审计 信息 , 供 各 种 分 析 需 要 ,这 种 信息 是 
可 以 由 审计 员 根 据 自己 的 需要 进行 选择 的 。 同 时 他 可 以 在 认为 没有 必要 保留 的 前 提 下 ， 
删除 任何 一 个 审计 日 志文 件 , 也 可 以 将 这 些 日 志文 件 转 储 在 除 硬盘 之 外 的 存储 媒体 上 ,以 
节省 系统 磁盘 空间 。 


于 UNIX/Linux 的 安全 机 制 


UNIX 是 一 种 多 用 户 、 多 任务 的 操作 系统 。 这 类 操作 系统 的 一 种 基本 功能 就 是 防止 
使 用 同一 台 计 算 机 的 不 同 用 户 之 间 互 相干 扰 。 所 以 UNIX 的 设计 宗旨 是 要 考虑 安全 的 。 
当然 UNIX 中 仍然 存在 很 多 安全 问题 ,其 新 功能 的 不 断 纳入 及 安全 机 制 的 错误 配置 或 错 
误 使 用 ,都 可 能 带 来 很 多 问题 。 

UNIX 操作 系统 借助 以 下 四 种 方式 提供 功能 。 

(1) 系统 调用 : 用 户 进 程 通过 UNIX API 的 内 核 部 分 一 一 系统 调用 接口 , 显 式 地 从 
内 核 获得 服务 。 内 核 以 调用 进程 的 身份 执行 这 些 请 求 。 

(2) 异常 : 进程 的 某 些 不 正常 操作 ,诸如 除数 为 0, 或 用 户 堆 栈 溢出 将 引起 硬件 异常 。 
异常 需要 内 核 干预 ,内 核 为 进程 处 理 这 些 异 常 。 

(3) 中 断 : 内 核 处 理 外 围 设备 的 中 断 。 设 备 通过 中 断 机 制 通知 内 核 IO 完成 状态 变 
化 。 内 核 将 中 断 视 为 全 局 事件 ,与 任何 特定 进程 都 不 相关 。 

(4) 由 swapper 和 pagedaemon 之 类 的 一 组 特殊 的 系统 进程 执行 系统 级 的 任务 ,比如 
控制 活动 进程 的 数目 或 维护 空闲 内 存 池 。 

系统 具有 两 个 执行 态 : 核心 态 和 用 户 态 。 运 行内 核 中 程序 的 进程 处 于 核心 态 ,运行 
核 外 程序 的 进程 处 于 用 户 态 。 系 统 保证 用 户 态 下 的 进程 只 能 访问 它 自 己 的 指令 和 数据 ， 
而 不 能 访问 内 核 和 其 他 进程 的 指令 和 数据 ,并 且 保 证 特权 指令 只 能 在 核心 态 执行 , 像 中 
断 . 异 常 等 在 用 户 态 下 不 能 使 用 。 用 户 程序 可 以 通过 系统 调用 进入 核心 ,运行 完 系 统 调用 
再 返回 用 户 态 。 系 统 调用 是 用 户 在 编写 程序 时 可 以 使 用 的 界面 ,是 用 户 程序 进入 UNIX 
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内 核 的 唯一 入口 。 因 此 ,用 户 对 系统 资源 中 信息 的 访问 都 要 通过 系统 调用 才能 完成 。 一 
旦 用 户 程 序 通 过 系统 调用 进入 内 核 , 便 完全 与 用 户 隔离 ,从 而 使 内 核 中 的 程序 可 对 用 户 的 
访问 请 求 进行 响应 ,而 不 受用 户 干扰 的 访问 控制 。 

在 安全 结构 上 ,Linux 与 UNIX 基本 上 是 相似 的 。 如 无 特别 说 明 , 下 面 对 UNIX 的 
叙述 对 Linux 也 是 通用 的 。 


371 标识 


UNIX 的 各 种 管理 功能 都 被 限制 在 一 个 超级 用 户 (root) 中 ,其 功能 和 Windows NT 
的 管理 员 (administrator ) 或 Netware 的 超级 用 户 (supervisor) 功 能 类 似 。 作 为 超级 用 户 
可 以 控制 一 切 ,包括 用 户 账号 、 文 件 和 目录 、 网 络 资源 。 超 级 用 户 可 以 管理 所 有 资源 的 各 
类 变化 情况 ,或 者 只 管理 很 小 范围 的 重大 变化 。 例 如 每 个 账号 都 是 具有 不 同 用 户 名 .不同 
的 口令 和 不 同 的 访问 权限 的 一 个 单独 实体 。 超 级 用 户 有 权 授 予 或 拒绝 任何 用 户 、. 用 户 组 
合 和 所 有 用 户 的 访问 。 用 户 可 以 生成 自己 的 文件 ,安装 自己 的 程序 等 。 为 了 确保 次 序 , 系 
统 会 分 配 好 用 户 目录 。 每 个 用 户 都 得 到 一 个 主 目录 和 一 块 硬盘 空间 。 这 块 空间 与 系统 区 
域 和 其 他 用 户 占 用 的 区 域 分 割 开 来 。 这 种 作用 可 以 防止 一 般 用 户 的 活动 影响 其 他 文件 系 
统 , 进 而 系统 还 为 每 个 用 户 提供 一 定 程度 的 保密 。 超 级 用 户 作 为 根 可 以 控制 哪些 用 户 能 
够 进行 访问 以 及 他 们 可 以 把 文件 存放 在 哪里 ,控制 用 户 能 够 访问 哪些 资源 ,用 户 如 何 进行 
访问 等 。 

用 户 登 录 到 系统 中 时 ,需要 输入 用 户 名 标识 其 身份 。 在 系统 内 部 具体 实现 中 , 当 该 用 
户 的 账户 创建 时 ,系统 管理 员 便 为 其 分 配 一 个 唯一 的 标识 号 一 一 UID。 

系统 中 的 /etc/passwd 文件 含有 全 部 系统 需要 知道 的 关于 每 个 用 户 的 信息 (加 密 后 
的 口令 也 可 能 存 于 /etc/shadow 文件 中 )。/etc/passwd 中 包含 用 户 的 登录 名 ,经 过 加 密 
的 口令 .用 户 号 ,用户 组 号 .用 户 注释 .用 户主 目录 和 用 户 所 用 的 shell 程序 。 其 中 ,用 户 号 
(UID) 和 用 户 组 号 (GID) 用 于 UNIX 系统 唯一 地 标识 用 户 和 同 组 用 户 及 用 户 的 访问 权 
限 。 系 统 中 超级 用 户 (root) 的 UID 为 0。 每 个 用 户 可 以 属于 一 个 或 多 个 用 户 组 ,每 个 
组 由 GID 唯一 标识 。 

在 大 型 的 分 布 式 系统 中 ,为 了 统一 对 用 户 管理 ,通常 将 存 于 每 一 台 工作 站 上 的 口令 文 
件 信息 存在 网 络 服务 右上。 目前 流行 的 系统 有 Sun 公司 的 网 络 信 息 系统 (NIS),Sun 公 
司 的 NIS 十 ,开放 软件 基金 会 的 分 布 式 计算 机 环境 (DCE) ,NetT 计算 机 上 的 NetInfo 等 。 


372 鉴别 


用 户 名 是 个 标识 , 它 告 诉 计算 机 该 用 户 是 谁 。 而 口令 是 个 确认 证 据 。 用 户 登录 系统 
时 ,需要 输入 口令 来 鉴别 用 户 身 份 。 当 用 户 输入 口令 时 ,UNIX 使 用 改进 的 DES 算法 ( 通 
过 调用 crypt() 函数 实现 ) 对 其 加 密 , 并 将 结果 与 存储 在 /etc/passwd 或 NIS 数据 库 中 的 
加 密 用 户口 令 比 较 , 若 二 者 匹配 , 则 说 明 该 用 户 的 登录 合法 ,否则 拒绝 用 户 登录 。 

为 防止 口令 被 非 授 权 用 户 盗用 ,对 其 设置 应 以 复杂 不 可 猜测 为 标准 。 一 个 好 的 口令 
应 当 至 少 有 6 个 字符 长 ,不 要 取 用 个 人 信息 ,普通 的 英语 单词 也 不 好 (因为 易 遭 受 字 典 攻 
击 法 攻击 ) ,口令 中 最 好 有 一 些 非 字母 (如 数字 ,标点 符号 .控制 字符 等 )。 用 户 应 定期 改变 
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口令 。 通 常 ,口令 以 加 密 的 形式 表示 。 由 于 /etc/passwd 文件 对 任何 用 户 可 读 ,故常 成 为 
口令 攻击 的 目标 。 所 以 系统 中 常用 shadow 文件 (/etc/shadow) 来 存储 加 密 口 令 , 并 使 
其 对 普通 用 户 不 可 读 。 

373 访问 控制 

在 UNIX 文件 系统 中 ,控制 文件 和 目录 中 的 信息 存在 磁盘 及 其 他 辅助 存储 介质 上 。 
它 控制 每 个 用 户 可 以 访问 何 种 信息 及 如 何 访问 。 表 现 为 通过 一 组 访问 控制 规则 来 确定 一 
个 主体 是 否 可 以 访问 一 个 指定 客体 。UNIX 的 访问 控制 机 制 通过 文件 系统 实现 。 

1. 访问 权限 

命令 ls 可 列 出 文件 (或 目录 ) 对 系统 内 的 不 同 用 户 所 给 予 的 访问 权限 。 如 : 


-rwW-r--r— 1root root 1397 Mar 7 10:20 passwd 
图 3-11 给 出 了 文件 访问 权限 的 图 示 解 释 : 


| 其 他 用 户 的 权限 
同 组 用 户 的 权限 
文件 拥有 者 的 权限 


文件 类 型 
图 3-11 文件 访问 权限 示意 图 


访问 权限 位 共有 9 位 ,分 为 三 组 ,用 以 指出 不 同类 型 的 用 户 对 该 文件 的 访问 权限 。 

权限 有 三 种 : 

(1) r 允许 读 ; 

(2) w ”允许 写 ; 

(3) x 允许 执行 。 

用 户 有 三 种 类 型 ; 

(1) owner 该 文件 的 属 主 ; 

(2) group 在 该 文件 所 属 用 户 组 中 的 用 户 , 即 同 组 用 户 ; 

(3) other 除 以 上 二 者 外 的 其 他 用 户 。 

图 3-10 表示 文件 的 属 主 具有 读 写 及 执行 权限 (rwx) , 同 组 用 户 允 许 读 和 执行 操作 ,其 
他 用 户 没 有 任何 权限 。 权 限 位 中 ,- 表 示 相 应 的 访问 权限 不 允许 。 

上 述 授权 模式 同样 适应 于 目录 ,用 1s-1 列 出 时 ,目录 文件 的 类 型 为 4。 用 ls 列 目录 要 
有 读 许可 ,在 目录 中 增删 文件 要 有 写 许可 ,进入 目录 或 将 该 目录 作 路 径 分 量 时 要 有 执行 许 
可 ,因此 要 使 用 任 一 个 文件 ,必须 有 该 文件 及 找到 该 文件 所 在 路 径 上 所 有 目录 分 量 的 相应 
许可 。 仅 当 要 打开 一 个 文件 时 ,文件 的 许可 才 开始 起 作用 ,而 rm、mv 只 要 有 目录 的 搜索 
和 写 许可 ,并 不 需要 有 关 文 件 的 许可 ,这 一 点 应 尤其 注意 。 

一 些 版 本 的 UNIX 系统 支持 访问 控制 表 (ACL) ,如 AIX 和 HP-UX 系统 。 它 被 用 作 
标准 的 UNIX 文件 访问 权限 的 扩展 。ACL 提供 更 完善 的 文件 授权 设置 , 它 可 将 对 客体 
(文件 .目录 等 ) 的 访问 控制 细 化 到 单个 用 户 ,而 非 笼 统 的 * 同 组 用 户 ? 或 “其 他 用 户 ”。 可 以 

54 


Eee 第 3 章 安全 机 制 mm 


为 任意 组 合 的 用 户 以 及 用 户 组 设置 文件 访问 权限 。 
以 HP-UX 系统 为 例 ,用 lsacl 命令 可 以 观察 一 个 文件 的 ACL, 如 对 于 文件 test: 


(a%, rw) Bb, rx) Bs, --- ) test 
表示 用 户 a( 可 以 是 任何 组 的 成 员 )、 用 户 组 b 及 所 有 其 他 用 户 和 用 户 组 的 权限 。 其 
中 % 为 通配符 。 


UNIX 系统 中 ,每 个 进程 都 有 真实 UID、 真 实 GID、 有 效 UID 及 有 效 GID。 当 进程 
试图 访问 文件 时 ,核心 将 进程 的 有 效 UID、GID 和 文件 的 访问 权限 位 中 相应 的 用 户 和 组 
相 比较 ,决定 是 否 赋予 其 相应 权限 。 


2 改变 权限 
改变 文件 的 访问 权限 可 使 用 chmod 命令 ,并 以 新 权限 和 该 文件 名 为 参数 。 格 式 为 : 


chmd [ -Rfh ] 访问 权限 文件 名 


chmod 也 有 其 他 方式 的 参数 可 直接 对 某 组 参数 进行 修改 ,在 此 不 再 袭 述 , 详 见 UNIX 
系统 的 联机 手册 。 合 理 的 文件 授权 可 防止 偶然 性 地 覆盖 或 删除 文件 (即使 是 属 主 自己 ) 。 
改变 文件 的 属 主 和 组 名 可 用 chown 和 chgrp, 但 修改 后 原 属 主 和 组 员 就 无 法 修改 回来 了 。 

文件 的 授权 可 用 一 个 4 位 的 八进制 数 表示 ,后 三 位 同 图 3-10 所 示 的 三 组 权限 , 授 以 
权限 时 许可 位 置 1, 不 授 以 权限 则 相应 位 置 0。 最 高 的 一 个 八进制 数 分 别 对 应 SUID 位 、 
SGID 位 ,sticky 位 。 其 中 前 两 个 与 安全 有 关 , 将 其 作为 特殊 权限 位 在 下 一 节 描 述 。 

umaskCUNIX 对 用 户 文件 模式 屏蔽 字 的 缩写 ) 也 是 一 个 4 位 的 八进制 数 ,UNIX 用 它 
确定 一 个 新 建文 件 的 授权 。 每 一 个 进程 都 有 一 个 从 它 的 父 进程 中 继承 的 umask。umask 
说 明 要 对 新 建文 件 或 新 建 目 录 的 默认 授权 加 以 屏蔽 的 部 分 。 


新 建文 件 的 真正 访问 权限 = (~ umask)& (文件 授权 ) 


UNIX 中 相应 有 umask 命令 , 若 将 此 命令 放 入 用 户 的 . profile 文件 ,就 可 控制 该 用 户 
后 续 所 建文 件 的 访问 许可 。umask 命令 与 chmod 命令 的 作用 正好 相反 , 它 告 诉 系 统 在 创 
建文 件 时 不 给 予 什么 访问 许可 。 


3 特殊 权限 位 

有 时 没有 被 授权 的 用 户 需 要 完成 某 些 要 求 授权 的 任务 ,如 passwd 程序 ,对 于 普通 用 
户 ,允许 改变 自身 的 口令 。 但 不 能 拥有 直接 访问 /etc/passwd 文件 的 权力 ,以 防止 改变 其 
他 用 户 的 口令 。 为 了 解决 这 个 问题 ,UNIX 允许 对 可 执行 的 目标 文件 (只 有 可 执行 文件 才 
有 意义 ) 设 置 SUID 或 SGID。 

如 前 所 述 , 当 一 个 进程 执行 时 就 被 赋予 4 个 编号 ,以 标识 该 进程 隶属 于 谁 ,分 别 为 实 
际 和 有 效 的 UID、 实 际 和 有 效 的 GID。 有 效 的 UID 和 GID 一般 和 实际 的 UID 和 GID 相 
同 , 有 效 的 UID 和 GID 用 于 系统 确定 该 进程 对 于 文件 的 访问 许可 。 而 设置 可 执行 文件 
的 SUID 许可 将 改变 上 述 情况 , 当 设 置 SUID 时 ,进程 的 有 效 UID 为 该 可 执行 文件 的 所 
有 者 的 有 效 UID, 而 不 是 执行 该 程序 的 用 户 的 有 效 UID, 因 此 由 该 程序 创建 的 都 有 与 该 
程序 所 有 者 相同 的 访问 许可 。 这 样 程序 的 所 有 者 将 可 通过 程序 的 控制 在 有 限 的 范围 内 向 
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用 户 发 布 不 允许 被 公众 访问 的 信息 。 同 样 ,SGID 是 设置 有 效 GID, 用 “chmod u 十 s 文件 
名 ”和 “chmod u 一 s 文件 名 ”来 设置 和 取消 SUID 设置 ,用 “chmod g 十 s 文件 名 ”和 “chmod 
g 一 s 文件 名 ”来 设置 和 取消 SGID 设置 。 当 文件 设置 了 SUID 和 SGID 后 ,chown 和 
chgrp 命令 将 全 部 取消 这 些许 可 。 


374 审计 


UNIX 系统 的 审计 机 制 监控 系统 中 发 生 的 事件 ,以 保证 安全 机 制 正确 工作 并 及 时 对 
系统 异常 报警 提示 。 审 计 结 果 常 写 在 系统 的 日 志文 件 中 。 丰 富 的 日 志 为 UNIX 的 安全 
运行 提供 了 保障 。 常 见 的 日 志文 件 有 : 

acct 或 pacct 记录 每 个 用 户 使 用 过 的 命令 

aculog 筛选 出 modems( 自 动 呼叫 部 件 ) 记 录 

lastlog 记录 用 户 最 后 一 次 成 功 登录 时 间 和 最 后 一 次 登录 失败 的 时 间 

loginlog 不 良 的 登录 尝试 记录 

messages 记录 输出 到 系统 主 控 台 以 及 由 syslog 系统 服务 程序 产生 的 信息 


sulog 记录 su 命令 的 使 用 情况 

utmp 记录 当前 登录 的 每 个 用 户 

utmpx 扩展 的 utmp 

wtmp 记录 每 一 次 用 户 登 录 和 注销 的 历史 信息 ,以 及 系统 关 和 开 
wtmpx 扩展 的 wtmp 

vold. log 记录 使 用 外 部 介质 (如 软盘 或 光盘 ) 出 现 的 错误 

xferlog 记录 ftp 的 访问 情况 


其 中 ,最 常用 的 大 多 数 版 本 的 UNIX 都 具备 的 审计 服务 程序 是 syslogd, 它 可 实现 灵 
活 配 置 、 集 中 式 管理 。 运 行 中 需要 对 信息 作 登 记 的 单个 软件 发 送 消息 给 syslogd, 根 据 配 
置 (/etc/syslog. conf) ,按照 消息 的 来 源 和 重要 程度 情况 ,这 些 消息 可 记录 到 不 同 的 文件 、 
设备 或 其 他 主机 中 。 

Linux 日 志 与 UNIX 类 似 ,普遍 存在 于 系统 、 应 用 和 协议 层 。 大 部 分 Linux 把 输出 
的 日 志 信 息 放 入 标准 或 共享 的 日 志文 件 里 。 大 部 分 日 志 存 在 于 /var/log。 相 应 的 Linux 
有 许多 日 志 工 具 , 像 lastlog 跟踪 用 户 登录 ,last 报告 用 户 的 最 后 登录 。Xferlog 记录 FTP 
文件 传输 ,还 有 Httpd 的 access_log，error_log。 系 统 和 内 核 消息 由 syslogd 和 klogd 
处 理 。 

当前 的 UNIX/Linux 系统 很 多 都 支持 “C2 级 审计 ”, 即 达到 了 由 TCSEC( 可 信任 的 
计算 机 系统 评价 规范 ) 所 规定 的 C2 级 的 审计 标准 。 


375 密码 


加 密 (encryption) 是 指 把 一 个 消息 (plaintext, 称 为 明文 ) 用 一 个 数学 函数 和 一 个 专门 
的 加 密 口 令 ( 称 为 密 钥 ) 转 换 为 男 一 个 消息 (ciphertext, 称 为 密 文 ) 的 过 程 。 解 密 
(decryption) 是 它 的 反 过 程 : 密 文 用 一 个 数学 函数 和 一 个 密 钥 转换 为 明文 。 

在 UNIX 系统 中 采用 加 密 系 统 是 必要 的 。 假 设 一 个 拥有 超级 用 户 权限 的 用 户 可 以 
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绕 过 文件 系统 的 所 有 口令 检查 ,虽然 他 的 权限 极 大 ,但 如 果 文 件 加 密 , 他 在 不 知道 密 钥 的 
情况 下 仍 是 无 法 解密 文件 的 。 

当前 UNIX 系统 中 常 使 用 的 加 密 程 序 有 : 

。 crypt 最 初 的 UNIX 加 密 程 序 。 

。 des 数据 加 密 标 准 (Data Encryption Standard, DES) 在 UNIX 上 的 应 用 。 

。 pgp Phil Zimmermann 的 Pretty Good Privary 程序 。 

上 述 程序 在 Linux 上 都 有 相应 的 实现 。 

例如 使 用 crypt 命令 (不 同 于 更 安全 crypt() 库 函数 ) 可 提供 给 用 户 以 加 密 文件 ,使 用 
一 个 关键 词 将 标准 输入 的 信息 编码 为 不 可 读 的 杂乱 字符 串 , 送 到 标准 输出 设备 。 再 次 使 
用 此 命令 ,用 同一 关键 词 作 用 于 加 密 后 的 文件 ,可 恢复 文件 内 容 。 加 密 关 键 词 的 选取 规则 
与 口令 的 选取 规则 相同 。 由 于 crypt 程序 可 能 被 做 成 特洛伊 木马 , 故 不 宜 用 口令 作为 关 
键 词 。 最 好 在 加 密 前 用 pack 或 compress 命令 对 文件 进行 压缩 后 再 加 密 , 这 样 就 可 以 降 
低 密 文 和 明文 的 相关 度 ,增加 破解 的 难度 。 

UNIX/Linux 可 以 提供 一 些 点 对 点 的 加 密 方法 ,以 保护 传输 中 的 数据 。 一 般 情况 下 ， 
当 数据 在 因特网 中 传输 时 ,可 能 要 经 过 许多 网 关 。 在 这 个 过 程 中 ,数据 很 容易 被 窃取 。 各 
种 附加 的 Linux 应 用 程序 可 以 进行 数据 加 密 ,这样 即使 数据 被 截获 ,窃取 者 除了 一 些 乱码 
外 , 别 无 所 得 。Secure Shell 就 是 有 效 地 利用 加 密 来 保证 远程 登录 的 安全 。UNIX 也 可 以 
对 本 地 文件 进行 加 密 防止 文件 被 非法 访问 ,同时 保证 了 文件 的 一 致 性 ,从 而 防止 对 文件 的 
非法 窗 改 。 也 可 以 一 定 程 度 的 防止 病毒 、 特 洛 伊 木 马 等 恶意 程序 。 

例如 一 个 网 络 里 面 有 许多 用 户 ,通常 这 些 用 户 都 需要 在 使 用 服务 时 提供 密码 。 系 统 
中 都 有 passwd 实用 程序 ,可 以 用 来 修改 密码 。 在 UNIX 类 的 操作 系统 中 ,有 很 多 做 法 是 
相同 的 。 例 如 用 户 名 和 密码 均 存 储 于 /etc/passwd 文件 之 中 。 除 此 之 外 ,此 文件 还 存储 
了 其 他 重要 信息 ,如 UID、GID 等 。 这 个 文件 中 的 信息 对 维护 系统 正常 运行 是 必 不 可 少 
的 ,如 用 户 认 证 ,权限 赋予 等 。/etc/passwd 文件 中 存储 的 是 加 密 的 密码 字 串 ,在 修改 密 
码 时 ,程序 使 用 某 种 算法 (如 hash) 加 密 输入 的 字符 ,再 存 人 文件。 在 登录 时 系统 把 用 户 
输入 后 加 密 的 字符 串 和 存储 的 密码 串 比 较 , 如 果 一 致 则 认为 通过 。 哈 硕 算 法 是 不 可 逆 的 。 
攻击 者 对 密码 文件 实施 攻击 的 一 般 方式 是 先 取得 密码 文件 ,再 使 用 推测 . 穷 举 的 办 法 强行 
“ 猜 出 ?密码 ,也 即使 用 程序 加 密 字 串 ,不 断 和 文件 里 面 的 密 文 对 比 ,如 果 相 同 则 就 找到 了 

一 般 在 使 用 passwd 程序 修改 密码 时 ,如 果 输 入 的 密码 安全 性 不 够 ,系统 会 给 出 警 
告 ,说 明 密码 选择 很 糟糕 ,这 时 最 好 再 换 一 个 。 绝 对 避免 使 用 用 户 名 或 者 它 的 相关 变化 ] 
式 , 许 多 破解 程序 首先 是 以 用 户 名 的 各 种 可 能 变换 作为 破解 起 点 的 。 

可 是 这 样 安全 性 仍然 不 够 ,下 一 步 是 使 用 更 好 的 加 密 算 法 ,如 MD5( 有 的 Linux 发 行 
版 安装 时 可 以 选择 此 项 ); 或 者 把 密码 放 在 其 他 地 方 。UNIX/Linux 一 般 的 解决 方案 类 似 
于 第 二 个 方案 ,叫做 shadow password。 在 /etc/passwd 文件 中 的 密码 串 被 替换 成 了 “x?， 
组 密码 也 一 样 处 理 。 系 统 在 使 用 密码 文件 时 ,发 现 标记 会 寻找 shadow 文件 ,完成 相应 的 
操作 。 而 shadow 文件 只 有 root 用 户 可 访问 。 当 然 还 有 更 新 的 、 更 安全 可 靠 和 更 经 济 的 
认证 技术 不 断 出 现 , 如 果 想 使 用 这 些 技术 ,需要 或 多 或 少 修 改 相关 程序 。 所 以 为 了 达到 更 
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经 济 合理 的 目的 ,出 现 了 可 插入 认证 模块 (Pluggable Authentication Modules, PAM)。 
它 在 需要 认证 的 程序 和 实际 认证 机 制 之 间 引 入 中 间 件 层 。 一 旦 程序 是 基于 PAM 发 行 
的 ,那么 任何 PAM 支持 的 认证 方法 都 可 以 用 于 该 程序 ,这 样 就 没有 必要 重新 修改 、 编 译 
所 有 程序 了 ,只 要 PAM 发 展 了 新 技术 ,如 数字 签名 ,基于 PAM 的 程序 可 以 马上 使 用 它 。 
这 种 强大 的 灵活 性 能 是 企业 级 应 用 所 不 可 或 缺 的 。 

更 进一步 ,普通 认证 手段 难以 完善 的 管理 用 户 ,会 话 数据 等 工作 还 可 以 交 给 PAM 来 
做 。 例 如 可 以 非常 容易 地 禁止 某 些 用 户 在 特定 的 时 间 段 登录 ,或 要 求 他 们 登录 时 使 用 特 
别 的 认证 方式 。 


376 网 络 安全 性 


当前 的 UNIX 系统 通常 是 运行 在 网 络 环境 中 的 ,默认 支持 TCP/IP 协议 。 所 以 网 络 
安全 性 也 是 操作 系统 所 强调 的 一 个 不 可 分 割 的 重要 方面 。 网 络 安全 性 ,主要 指 通过 防止 
本 机 或 本 网 被 非法 入 侵 访问 ,从 而 达到 保护 本 系统 可 靠 . 正 常 运行 的 目的 。UNIX 操作 
系统 可 以 对 网 络 访问 控制 提供 强 有 力 的 安全 支持 , 主要 方式 是 有 选择 地 允许 用 户 和 主机 
与 其 他 主机 的 连接 。 相 关 的 配置 文件 有 : 

。 /etc/inetd. conf 文件 内 容 是 系统 提供 哪些 服务 。 

。 /etc/services 文件 里 罗列 了 端口 号 .协议 和 对 应 的 名 称 。 

TCP_WRAPPERS 由 /etc/hosts. allow 和 /etc/hosts. deny 两 个 文件 控制 。 

它 可 以 使 用 户 很 容易 地 控制 哪些 IP 地 址 被 禁止 登录 ,哪些 被 允许 登录 。 通 过 加 入 服 
务 限制 条 件 ,可 以 更 好 地 管理 系统 。 系 统 在 使 用 它们 时 , 先 检查 前 一 个 文件 ,从 头 到 尾 扫 
描 , 如 果 发 现 用 户 的 相应 记录 标记 ,就 给 用 户 提供 他 所 要 求 的 服务 。 如 果 没 有 找到 记录 ， 
就 像 刚才 一 样 扫描 hosts. deny 文件 ,查看 是 否 有 禁止 用 户 的 标记 。 如 果 发 现 记 录 ,就 不 
给 用 户 提 供 相 应 服务 。 如 果 仍 然 没 有 找到 记录 , 则 使 用 系统 默认 值 一 一 开放 服务 。 

网 上 访问 的 常用 工具 有 telnet ftp \rlogin rcp ,rcmd 等 网 络 操作 命令 ,为 了 安全 起 见 
对 它们 的 使 用 必须 加 以 限制 。 最 简单 而 且 最 常用 的 方法 是 修改 /etc/services 中 相应 的 服 
务 端口 号 ,从 而 达到 对 这 类 访问 进行 控制 的 目的 。 其 他 常见 的 网 络 服务 还 有 NFS 和 
NIS,NFS 使 网 络 上 的 主机 可 以 共享 文件 ,NIS 又 称 黄页 服务 ,可 将 网 络 上 每 台 主 机 的 配 
置 文件 集中 到 一 个 NIS 服务 器 上 来 实现 ,这 些 配 置 包 括 用 户 账 号 信息 、 组 信息 、 邮 件 别 
名 等 。 

(1) 当 远 程 使 用 ftp 访问 本 系统 时 ,UNIX 系统 首先 验证 用 户 名 和 密码 ,无 误 后 查看 
/etc/ftpusers 文件 (不 受 欢 迎 的 ftp 用 户 表 ) ,一 旦 其 中 包含 登录 所 用 用 户 名 则 自动 拒绝 
连接 ,从 而 达到 限制 作用 。 因 此 只 要 把 本 机 内 除 匿名 ftp 以 外 的 所 有 用 户 列 入 ftpusers 
文件 中 ,即使 人 侵 者 获得 本 机 内 正确 的 用 户 信息 ,也 无 法 登录 系统 。 此 外 ,如 果 使 用 远程 
注册 数据 文件 (. netrc 文件 ) 配 置 ftp 用 户 的 访问 安全 性 ,需要 注意 保密 防止 泄露 其 他 相 
关 主 机 的 信息 。 

(2) UNIX 系统 没有 直接 提供 对 telnet 的 控制 ,但 /etc/profile 是 系统 默认 shell 变量 
文件 ,所 有 用 户 登 录 时 必须 首先 执行 它 , 故 可 修改 该 文件 达到 安全 访问 目的 。 

(3) 所 谓 用 户 等 价 , 就 是 用 户 不 用 输入 密码 , 即 可 以 相同 的 用 户 信息 登录 到 另 一 台 主 
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机 中 。 用 户 等 价 的 文件 名 为 . rhosts ,存放 在 根 目录 下 或 用 户主 目录 下 。 它 的 形式 如 下 : 


# 主机 名 用 户 名 
ash020000 root 
ash020001 dg 


主机 等 价 类 似 于 用 户 等 价 ,在 两 台 计 算 机 除根 目录 外 的 所 有 区 域 有 效 , 主 机 等 价 文件 
为 hosts. equiv ,存放 在 /etc 下 。 

使 用 用 户 等 价 和 主机 等 价 这 类 访问 ,用 户 可 以 不 用 口令 而 像 其 他 有 效用 户 一 样 登录 
到 远程 系统 ,远程 用 户 可 使 用 rlogin 直接 登录 而 无 须 密码 ,还 可 使 用 rcp 命令 向 或 从 本 地 
主机 复制 文件 ,也 可 使 用 remd 远程 执行 本 机 的 命令 等 。 因 此 这 种 访问 具有 严重 的 不 安 
全 性 ,必须 严格 控制 或 在 非常 可 靠 的 环境 下 使 用 。 

(4) 当 NFS 的 客户 端 试 图 访问 由 NFS 服务 器 管理 的 文件 系统 时 , 它 需 要 mount 文 
件 系 统 。 如 果 操 作成 功 ,服务 器 将 返回 “ 文件 句柄 ， 该 标志 在 以 后 的 文件 操作 请 求 中 将 作 
为 验证 用 户 是 否 合法 的 标准 。NFS 中 对 mount 请 求 的 验证 是 根据 IP 地 址 决定 的 ,属于 
弱 验 证 ,容易 成 为 攻破 目标 。 

(5) NIS 基于 远程 过 程 调用 (RPC)。 利 用 RPC, 一 个 主机 上 的 客户 进程 可 调用 远程 
主机 上 的 服务 进程 。 其 相应 的 请 求 安 全 性 有 三 种 模式 : 

Q@ 无 认证 检查 ; 

@ 使 用 传统 UNIX 的 基于 机 器 标识 和 用 户 标识 的 认证 系统 ,NFS 默认 使 用 该 模式 ， 

@ DES 认证 系统 ,这 种 模式 最 安全 。 

NIS 的 不 安全 因素 表现 在 其 在 RPC 级 上 不 完成 任何 认证 ,网 络 上 的 任何 机 器 可 以 很 
容易 地 通过 伪装 成 NIS 服务 器 来 创建 假 的 RPC 响应 ,如 图 3-12 所 示 。 


RPC 请 求 
NIS NIS 
客户 服务 器 
伪造 RPC 响 应 


图 3-12 攻击 NIS 原理 


1 
入 侵 者 


377 网 络 监控 与 入 侵 检测 


入 侵 检测 技术 是 一 项 相对 比较 新 的 技术 。 标 准 的 UNIX/Linux 发 布 版 本 也 是 最 近 
才 配 备 这 种 工具 的 。 利 用 UNIX 配备 的 工具 和 从 因特网 上 下 载 的 工具 ,可 以 使 系统 具备 
较 强 的 人 侵 检 测 能 力 。 包 括 让 UNIX 记录 入 侵 企 图 , 当 攻 击发 生 时 及 时 给 出 警报 ;让 
UNIX 在 规定 情况 的 攻击 发 生 时 ,采取 事先 确定 的 措施 ;让 UNIX 发 出 一 些 错 误 信息 , 比 
如 模仿 成 其 他 操作 系统 。 

见 的 方式 有 利用 嗅 探 咒 监听 网 络 上 的 信息 。 用 扫描 器 检测 安全 漏洞 。 系 统 扫描 器 
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可 以 扫描 本 地 主机 ,防止 不 严格 或 者 不 正确 的 文件 许可 权 , 默 认 的 账户 、 错 误 或 重复 的 
UID 项 等 ;网 络 扫描 器 可 以 对 网 上 的 主机 检查 各 种 服务 和 端口 ,发 现 可 能 被 远程 攻击 者 
利用 的 漏洞 。 这 类 工具 首 推 荐 名 的 扫描 器 SATAN。 


378 备份 /恢复 


在 现 有 的 计算 机 体系 结构 和 技术 水 平 下 ,无 论 采取 怎样 的 安全 措施 ,都 不 能 消除 系统 
崩溃 的 可 能 性 ,所 以 常 使 用 系统 备份 来 加 强 系统 的 安全 性 和 可 靠 性 。 系 统 备份 是 一 件 非 
常 重要 的 事情 , 它 可 使 用 户 在 灾难 发 生 后 将 系统 恢复 到 一 个 稳定 的 状态 ,将 损失 减 到 
最 小 。 

备份 的 常用 类 型 有 三 种 : 实时 备份 .整体 备份 、 增 量 备份 。 系 统 的 备份 应 根据 具体 情 
况 制 定 合理 的 策略 ,备份 文档 应 经 过 处 理 ( 压 缩 、 加 密 等 ) 合 理 保存 。 

在 UNIX 系统 中 ,有 几 个 专门 的 备份 程序 : dump/restore、backup。 网 络 备份 程序 有 


rdumpy/rstore rcp \ftp .rdist 等 。 
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优秀 的 硬件 保护 特性 是 高 效 、 可 靠 的 操作 系统 的 基础 。 计 算 机 硬件 安全 的 目标 是 保 
证 其 自身 的 可 靠 性 和 为 系统 提供 基本 安全 机 制 。 其 中 基本 安全 机 制 包括 存储 保护 .运行 
保护 、I/O 保护 等 。 但 在 建立 一 个 安全 的 操作 系统 时 ,并 不 过 多 地 涉及 专门 而 又 复杂 的 硬 
件 环境 ,这 一 方面 是 因为 理论 上 认为 一 个 安全 的 操作 系统 可 以 建立 在 一 个 非常 基本 的 处 
理 器 上 , 另 一 方面 ,从 实际 情况 来 看 绝 大 多 数 与 安全 操作 系统 在 实现 相关 硬件 机 制 的 同时 
已 为 传统 操作 系统 所 要 求 并 已 提供 。 

为 了 防止 未 授权 人 员 对 计算 机 资源 的 非法 访问 ,操作 系统 提供 了 两 道 防线 ,一 是 通过 
标识 与 鉴别 将 非法 人 员 拒 于 系统 之 外 ,二 是 通过 合理 强度 的 访问 控制 机 制 防止 非 授 权 人 
员 对 系 的 非法 访问 。 最 小 特权 管理 则 是 为 使 系统 能 够 正常 运行 ,就 必须 让 某 些 进程 能 够 
恰当 地 违反 系统 的 安全 策略 ,但 又 不 应 该 给 予 其 超过 执行 任务 所 需 特权 以 外 的 特权 。 可 
信 路 径 避 免 了 特洛伊 木马 假冒 登录 进程 窃取 用 户口 令 的 风险 ,安全 审计 则 通过 记录 日 志 
信息 ,捕捉 潜在 的 隐患 和 事后 追查 违反 安全 的 当事人 .保障 系统 的 正常 运行 。 

本 章 同时 比较 系统 地 介绍 了 UNIX/Linux 的 安全 机 制 ,目的 在 于 使 读者 对 通常 意义 
上 的 UNIX/Linux 系统 的 安全 机 制 有 一 个 比较 全 面 的 理解 ,了 解 这 些 安全 机 制 的 构成 和 
不 足 之 处 。 本 书 以 后 针对 安全 操作 系统 的 论述 都 是 以 这 些 基 本 的 安全 功能 和 机 制作 为 基 
点 行 比较 分 析 的 。 


9 习题 


1. Linux 系统 中 运行 状态 分 为 用 户 态 和 核心 态 两 种 ,所 有 的 1/O 指令 只 能 通过 系统 
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调用 陷入 核心 态 才 能 使 用 。 因 此 基于 Linux 内 核 中 的 程序 ,可 以 据 此 对 用 户 的 请 求 进行 
完备 的 访问 控制 。 为 什么 ? 

2. 在 安全 操作 系统 中 ,对 于 用 户 的 标识 与 鉴别 需要 注意 哪些 问题 ? 请 设计 一 个 用 户 
登录 的 模拟 流程 。 

3. 自主 访问 控制 与 强制 访问 控制 是 安全 操作 系统 常用 的 两 种 访问 控制 机 制 ,请 分 别 
简 述 两 种 访问 控制 的 基本 内 容 以 及 它们 之 间 的 异同 点 。 

4. 在 自主 访问 控制 中 常 有 几 种 表达 访问 控制 信息 的 方式 ?分 别 简 述 它们 的 主要 内 
容 并 且 分 析 各 自 的 优 缺点 。 

5. 为 什么 在 实现 了 强制 访问 控制 的 不 同系 统 中 ,访问 控制 的 主 / 客 体 范 畴 、 控 制 规则 
可 能 会 有 所 不 同 ? 

6. 在 一 个 安全 操作 系统 中 ,特权 的 设置 与 访问 控制 机 制 的 关系 是 怎样 的 ? 

7. 请 简 述 POSIX 权能 遗传 机 制 与 最 小 特权 管理 实现 方法 。 

8. 在 一 个 没有 提供 可 信 路 径 的 系统 中 ,如 何 模拟 实现 一 个 特洛伊 木马 ? 请 给 出 其 流 
程 ,并 说 明 如 何 通过 可 信 路 径 机 制 来 限制 它 。 

9. 在 一 个 安全 操作 系统 中 ,审计 日 志 空 间 满 了 以 后 怎么 办 ? 请 给 出 几 种 可 行 的 设计 
思路 。 

10. 找 一 套 最 新 版 本 的 Linux 系统 ,实际 测试 其 所 提供 的 安全 功能 。 
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在 进行 安全 操作 系统 的 设计 和 开发 时 ,要 求 围绕 着 给 定 的 安全 策略 进行 。 安 全 策略 
就 是 对 系统 安全 需求 的 形式 化 或 者 非 形式 化 描述 。 而 安全 需求 则 是 从 有 关 管 理 、 保 护 和 
发 布 敏感 信息 的 法 律 .规定 和 实施 细则 中 导出 的 。 一 般 来 说 ,对 信息 系统 的 安全 需求 主要 
包含 以 下 四 个 方面 : 机密 性 (confidentiality)、 完 整 性 (integrity)、 可 追究 性 
(accountability) 和 可 用 性 (availability)。 所 以 基于 系统 安全 策略 的 定义 和 内 涵 可 将 其 分 
为 两 大 类 : 访问 控制 策略 (Access Control Policy) 和 访问 支持 策略 (Access Supporting 
Policy) 。 前 者 反映 系统 的 机 密 性 和 完整 性 要 求 , 它 确立 相应 的 访问 控制 规则 以 控制 对 系 
统 资源 的 访问 ;而 后 者 反映 系统 的 可 追究 性 和 可 用 性 要 求 , 它 以 支持 访问 控制 策略 的 面貌 
出 现 。 所 谓 一 个 系统 是 安全 的 ,就 是 指 系统 的 实现 达到 了 当初 设计 时 所 制定 的 安全 策略 。 

安全 策略 模型 指 的 是 如 何 用 形式 化 或 者 非 形式 化 的 方法 来 描述 安全 策略 ,也 就 是 系 
统 的 安全 需求 。 安 全 模型 就 是 对 安全 策略 所 表达 的 安全 需求 的 简单 .抽象 和 无 歧义 的 描 
述 , 它 为 安全 策略 和 它 的 实现 机 制 之 间 的 关联 提供 了 一 种 框架 。 安 全 模型 描述 了 对 某 个 
安全 策略 需要 用 哪 种 机 制 来 满足 ;而 模型 的 实现 则 描述 了 如 何 把 特定 的 机 制 应 用 于 系统 
中 ,从 而 实现 某 一 特定 安全 策略 所 需 的 安全 保护 。 

下 面 首先 介绍 安全 模型 的 作用 和 特点 ,然后 讨论 在 高 安全 等 级 操作 系统 中 所 要 求 的 
形式 化 模型 设计 的 各 个 方面 的 内 容 ,最 后 是 对 BLP Model、 Biba Model Clark-Wilson 
Model .Lattice Model of Information Flow、RBAC Models . DTE Model Noninterference 
Security Model 等 著名 模型 的 介绍 。 


_ 安全 模型 的 作用 和 特点 


能 否 成 功 地 获得 高 安全 级 别 的 系统 ,取决 于 对 安全 控制 机 制 的 设计 和 实施 投入 多 少 
精力 。 但 是 如 果 对 系统 的 安全 需求 了 解 得 不 清楚 ,即使 运用 最 好 的 软件 技术 ,投入 最 大 的 
精力 ,也 很 难 达 到 安全 要 求 的 目的 。 安 全 模型 的 目的 就 在 于 明确 地 表达 这 些 需 求 , 为 设计 
开发 安全 系统 提供 方针 。 

安全 模型 有 以 下 几 个 特点 。 

。 它 是 精确 的 、 无 歧义 的 。 

。 它 是 简易 和 抽象 的 ,所 以 容易 理解 。 

。 它 是 一 般 性 的 : 只 涉及 安全 性 质 , 而 不 过 度 地 牵扯 系统 的 功能 或 其 实现 。 

。 它 是 安全 策略 的 明显 表现 。 

安全 模型 一 般 分 为 两 种 : 形式 化 的 安全 模型 和 非 形式 化 的 安全 模型 。 非 形式 化 安全 
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游 


模型 仅 模拟 系统 的 安全 功能 ;形式 化 安全 模型 则 使 用 数学 模型 ,精确 地 描述 安全 性 及 其 在 


系统 中 使 用 的 情况 。 非 形式 化 开发 路 他 。 形式 化 开发 路 入 
如 图 4-1 所 示 , 对 于 高 安全 级 别 的 操作 系 ee 

统 ,尤其 是 对 那些 以 安全 内 核 为 基础 的 操作 系 下 
统 , 需 要 用 形式 化 的 开发 路 径 来 实现 。 这 时 安 人间 cE) 
全 模型 就 要 求 是 运用 形式 化 的 数学 符号 来 精确 

功能 规范 形式 化 规范 
表达 。 形 式 化 的 安全 模型 是 设计 开发 高 级 别 安 ”一 2 
全 系统 的 前 提 。 如 果 是 用 非 形 式 化 的 开发 路 (测试 ) (证 明 ) 
径 ,修改 一 个 现 有 的 操作 系统 以 改进 它 的 安全 个 

实现 实现 


性 能 , 则 只 能 达到 中 等 的 安全 级 别 , 即 便 如 此 ， 
编写 一 个 用 自然 语言 描述 的 非 形式 化 安全 模型 图 4-1 安全 模型 与 安全 操作 系统 开发 过 程 
也 是 很 值得 的 ,因为 安全 模型 可 以 保证 当 设 计 
是 和 安全 模型 一 致 时 ,实现 的 系统 是 安全 的 。 

为 满足 简易 性 ,模型 仅仅 只 需 模拟 系统 中 与 安全 相关 的 功能 ,同时 可 以 省 略 掉 系统 中 
的 其 他 与 安全 无 关 的 功能 ,这 也 是 系统 安全 模型 和 形式 化 功能 规范 之 间 的 差别 ,因为 相 比 
较 而 言 形 式 化 功能 规范 包括 了 过 多 的 与 安全 策略 无 关 的 系统 功能 特征 。 


”有 形式 化 安全 模型 设计 


J.P. Anderson 指出 ,要 开发 安全 系统 首先 必须 建立 系统 的 安全 模型 ,完成 安全 系统 
的 建 模 之 后 ,再 进行 安全 内 核 的 设计 和 实现 。 在 高 等 级 安全 操作 系统 开发 中 ,要 求 采用 形 
式 化 安全 模型 来 模拟 安全 系统 ,从 而 可 以 正确 地 综合 系统 的 各 类 因素 ,这 些 因素 包括 系统 
的 使 用 方式 、 使 用 环境 类 型 .授权 的 定义 .共享 的 客体 (系统 资源 ) 共享 的 类 型 和 受 控 共 享 
思想 等 。 所 有 这 些 因素 应 构成 安全 系统 的 形式 化 抽象 描述 ,使 得 系统 可 以 被 证 明 是 完整 
的 、 反 映 真实 环境 的 .逻辑 上 能 够 实现 程序 的 受 控 执 行 的 。 
形式 化 安全 策略 模型 设计 要 求人 们 不 仅 要 建立 深刻 的 模型 设计 理论 ,而 且 要 发 掘 出 
具有 坚实 理论 基础 的 实现 方法 。 为 了 模型 的 形式 化 ,必须 遵循 形式 设计 的 过 程 及 表达 
大 式 。 
尽管 目前 有 不 少 文献 探讨 这 个 问题 ,但 是 如 何 开 发 一 个 模型 仍然 是 很 困难 的 。Bell 
把 安全 策略 划分 为 四 个 层次 ,而 LaPadula 则 把 模型 设计 分 为 五 个 层次 ,前 者 说 明 策 略 在 
系统 设计 的 不 同 阶段 的 不 同 表现 形式 ,强调 策略 发 展 的 逻辑 过 程 ; 后 者 说 明 模 型 在 系统 设 
计 的 不 同 阶段 的 不 同 功能 要 求 ,强调 模型 对 象 的 逻辑 联系 ;因为 模型 对 象 必须 通过 执行 策 
略 才能 形成 一 个 有 机 的 模型 整体 ,而 且 随 着 模型 在 不 同 层次 的 发 展 ,模型 对 象 执 行 策略 的 
表现 形式 必 将 不 同 , 因 此 二 者 是 相辅相成 的 。 但 它们 也 仅 只 是 指明 了 模型 与 策略 设计 的 
逻辑 过 程 ,并 不 关心 这 些 逻 辑 过 程 的 实现 ,因为 作者 们 的 意图 主要 在 于 对 现 有 工作 进行 分 
类 总 结 。 但 是 面 对 一 个 具体 的 设计 ,实现 显然 是 重要 的 ;美国 国防 部 的 彩虹 序列 中 的 “对 
理解 可 信 系 统 中 安全 模型 的 指导 (A Guide to Understanding Security Modeling in 
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Trusted System)”, 提 出 了 指导 实现 的 一 般 性 步骤 ,这 些 步 又 明显 受 LaPadula 对 模型 设 
计 的 五 个 层次 的 划分 的 影响 。 下 面 分 析 这 些 步 又 与 模型 层次 的 关系 。 

第 一 步 , 确 定 对 外 部 接口 的 要 求 (identify reguirements on the external interface) ,这 
一 步 主要 明确 系统 主要 的 安全 需求 ,并 把 它们 与 其 他 问题 隔离 开 ; 这 些 需求 将 足以 支持 已 
知 的 高 层 策略 对 象 一 一 可 信 对 象 , 因 此 这 一 步 可 以 说 主要 是 给 出 系统 安全 的 确切 定义 , 提 
出 支持 可 信 对 象 的 各 种 条 件 及 描述 安全 需求 的 各 种 机 制 和 方法 ,构造 一 个 外 部 模型 。 

第 二 步 , 确 定 内 部 要 求 (identify internal requirements) ,为 了 支持 已 确定 的 外 部 需 
求 , 系 统 必须 对 系统 的 控制 对 象 进行 限制 ,这 些 限制 往往 就 形成 了 模型 的 安全 性 定义 ,这 
一 步 实质 上 就 是 把 安全 需求 与 系统 的 抽象 进行 结合 ,提出 合理 的 模型 变量 ,构造 一 个 内 部 
模型 。 

第 三 步 , 为 策略 的 执行 设计 操作 规则 (design rules of operation for policy 
enforcement) ,系统 实体 为 获得 安全 限制 必须 遵循 一 定 的 操作 规则 ,也 就 是 说 把 安全 策略 
规则 化 ;以 确保 系统 在 有 效 完 成 系统 任务 的 同时 ,系统 的 状态 始终 处 于 安全 状态 中 。 这 里 
有 一 个 非常 值得 注意 的 问题 就 是 McLean 在 1987 年 提出 的 完备 性 问题 : 一 个 安全 状态 
可 以 经 由 一 个 安全 操作 进入 下 一 个 安全 状态 ,也 可 能 经 由 一 个 不 安全 操作 进入 下 一 个 安 
全 状态 ,也 就 是 说 安全 操作 只 是 确保 系统 的 状态 始终 处 于 安全 状态 的 充分 条 件 ,如 果 系 统 
设计 得 不 完备 ,从 一 个 安全 状态 进入 下 一 个 安全 状态 时 完全 可 以 旁 过 安全 操作 ,这 一 步 对 
应 了 LaPadula 层次 划分 的 操作 规则 层次 。 

第 四 步 ,确定 什么 是 已 经 知道 的 (determine what is already known) ,对 于 高 安全 等 
级 操作 系统 的 安全 模型 的 设计 必须 是 形式 化 的 ,而 且 是 可 形式 验证 的 ,因此 必须 选择 适当 
的 形式 规范 语言 ,开发 相应 的 形式 验证 工具 ,看 看 是 否 有 可 直接 使 用 或 进行 二 次 开发 的 形 
式 验 证 工具 ,尽量 优化 设计 开发 过 程 。 

第 五 步 ,论述 一 致 性 和 正确 性 (demonstrate consistency and correctness) ,这 一 步 可 
以 说 是 模型 的 评论 (review) 阶 段 ,具体 到 操作 系统 的 安全 模型 的 设计 ,主要 内 容 应 该 包 
括 : 安全 需求 的 表达 是 否 准 确 、 合 理 ,安全 操作 规则 是 否 与 安全 需求 协调 一 致 ,安全 需求 
是 否 在 模型 中 得 到 准确 反映 ,模型 的 形式 化 与 模型 之 间 的 对 应 性 论证 等 。 

第 六 步 ,论述 关联 性 (demonstrate relevance) ,这 一 步 可 以 说 是 模型 的 实施 阶段 , 它 对 
应 LaPadula 层次 划分 的 功能 设计 层次 。 许 多 著名 的 系统 设计 (例如 ,SCOMP、Maultics、 
ASOS 等 ) 都 把 它 称 为 模型 在 系统 中 的 解释 (interpretation) ,也 有 人 把 它 称 为 模型 实现 。 
论述 关联 性 应 分 层次 进行 ,首先 是 实现 的 模式 ;其 次 是 实现 的 架构 ;再 次 是 模型 在 架构 里 
的 解释 ;最 后 是 实现 的 对 应 性 (correspondence) 论 证 。 


A.3 状态 机 模型 原理 


在 现 有 技术 条 件 下 ,安全 模型 大 都 是 以 状态 机 模型 作为 模拟 系统 状态 的 手段 ,通过 对 
影响 系统 安全 的 各 种 变量 和 规则 的 描述 和 限制 ,来 达到 确保 系统 安全 状态 不 变量 的 维持 
(意味 着 系统 安全 状态 保持 ?的 目的 。 所 以 这 里 首先 简要 叙述 状态 机 模型 的 原理 ,然后 再 
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介绍 各 种 主要 的 安全 模型 。 

状态 机 模型 最 初 受到 欢迎 ,是 由 于 它们 用 模仿 操作 系统 和 硬件 执行 过 程 的 方法 描述 
了 计算 机 系统 , 它 将 一 个 系统 描述 为 一 个 抽象 的 数学 状态 机 器 。 在 这 样 的 模型 里 ,状态 变 
量 表示 机 器 的 状态 ,转换 函数 或 者 操作 规则 用 以 描述 状态 变量 的 变化 过 程 , 它 是 对 系统 应 
用 通过 请 求 系统 调用 从 而 影响 操作 系统 状态 的 这 一 方式 的 抽象 。 这 个 抽象 的 操作 系统 具 
有 正确 描述 状态 可 以 怎样 变化 和 不 可 以 怎样 变化 的 能 力 。 

其 实 将 一 个 系统 模拟 为 状态 机 的 思想 很 早 就 出 现 了 ,但 是 状态 机 模型 在 软件 开发 方 
面 并 没有 得 到 广泛 的 应 用 ,问题 在 于 在 现 有 软 硬 件 技术 水 平 下 ,模拟 一 个 操作 系统 的 所 有 
状态 变量 是 非常 困难 的 ,也 可 以 说 是 不 可 能 的 。 由 于 安全 模型 并 未 涉及 系统 的 所 有 状态 
变量 和 函数 , 它 仅仅 只 涉及 数目 有 限 的 几 个 安全 相关 的 状态 变量 ,这 使 得 在 用 状态 机 来 模 
拟 一 个 系统 的 安全 状态 变化 时 ,不 至 于 出 现 如 同 在 软件 开发 中 不 得 不 面临 的 ,由 于 状态 变 
量 太 多 而 引发 的 状态 爆炸 问题 ,所 以 状态 机 模型 在 系统 安全 模型 中 得 到 了 较为 广泛 的 应 
用 , 它 可 以 比较 自如 地 模拟 和 处 理 安全 相关 的 各 种 变量 和 函数 。 

开发 一 个 状态 机 安全 模型 包含 确定 模型 的 要 素 ( 变 量 、 函 数 、 规 则 等 ) 和 安全 初始 状 
态 。 一 旦 证 明了 初始 状态 是 安全 的 并 且 所 有 的 函数 也 都 是 安全 的 ,精确 的 推导 会 表明 此 
时 不 论调 用 这 些 函 数 中 的 哪 一 个 ,系统 都 将 保持 在 安全 状态 。 

开发 一 个 状态 机 模型 要 求 采用 如 下 特定 的 步 又 : 

(1) 定义 安全 相关 的 状态 变量 。 状 态 变 量 表示 了 系统 的 主体 和 客体 、 它 们 的 安全 属 
性 以 及 主体 与 客体 之 间 的 存 取 权限 。 

(2) 定义 安全 状态 的 条 件 。 这 个 定义 是 一 个 不 变 式 , 它 表达 了 在 状态 转换 期 间 状 态 
变量 的 数值 所 必须 始终 保持 的 关系 。 

(3) 定义 状态 转换 函数 。 这 些 函 数 描述 了 状态 变量 可 能 发 生 的 变化 。 它 们 也 被 称 为 
操作 规则 ,因为 它们 的 意图 是 限制 系统 可 能 产生 的 类 型 ,而 非 列举 所 有 可 能 的 变化 ,而 且 
系统 不 能 以 函数 不 允许 的 方式 修改 状态 变量 。 

(4) 检验 函数 是 否 维持 了 安全 状态 。 为 了 确定 模型 与 安全 状态 的 定义 是 否 一 致 , 必 
须 检验 每 项 函数 ,要 求 如 果 系 统 在 运行 之 前 处 于 安全 状态 ,那么 系统 在 运行 之 后 仍 将 保持 
在 安全 状态 。 

(5) 定义 初始 状态 。 选 择 每 个 状态 变量 的 值 ,这 些 值 模拟 系统 在 最 初 的 安全 状态 中 
是 如 何 启 动 的 。 

(6) 依据 安全 状态 的 定义 ,证 明 初 始 状 态 安全 。 


4.4 机 密 性 安全 模型 


441 BeHLaPadula 模型 
这 里 主要 介绍 具有 代表 性 的 BLP 机 密 性 安全 模型 。 


1. 模型 介绍 
Bell-LaPadula 模型 (简称 BLP 模型 ) 是 D. Elliott Bell 和 Leonard J. LaPadula 于 
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1973 年 提出 的 一 种 适用 于 军事 安全 策略 的 计算 机 操作 系统 安全 模型 , 它 是 最 早 , 也 是 最 
常用 的 一 种 计算 机 多 级 安全 模型 之 一 。 

在 BLP 模型 中 将 主体 定义 为 能 够 发 起 行为 的 实体 ,如 进程 ;将 客体 定义 为 被 动 的 主 
体 行为 承担 者 ,如 数据 、 文 件 等 ;将 主体 对 客体 的 访问 分 为 (只 读 )、w( 读 写 )、a( 内 写 )、e 
(执行 ) 以 及 c( 控 制 ) 等 访问 模式 ,其 中 c( 控 制 ) 是 指 该 主体 用 来 授予 或 撤销 另 一 主体 对 某 
一 客体 的 访问 权限 的 能 力 。BLP 模型 的 安全 策略 包括 两 部 分 : 自主 安全 策略 和 强制 安全 
策略 。 自 主 安全 策略 使 用 一 个 访问 矩阵 表示 ,访问 矩阵 第 i 行 第 j 列 的 元 素 My 表示 主体 
S; 对 客体 O 的 所 有 允许 的 访问 模式 ,主体 只 能 按照 在 访问 矩阵 中 被 授予 的 对 客体 的 访 
问 权限 对 客体 进行 相应 的 访问 。 强 制 安全 策略 包括 简单 安全 特性 和 * 特性 ,系统 对 所 有 
的 主体 和 客体 都 分 配 一 个 访问 类 属性 ,包括 主体 和 客体 的 密级 和 范畴 ,系统 通过 比较 主体 
与 客体 的 访问 类 属性 控制 主体 对 客体 的 访问 。 

BLP 模型 是 一 个 状态 机 模型 , 它 形式 化 地 定义 了 系统 、 系 统 状态 以 及 系统 状态 间 的 
转换 规则 ;定义 了 安全 概念 ;制定 了 一 组 安全 特性 ,以 此 对 系统 状态 和 状态 转换 规则 进行 
限制 和 约束 ,使 得 对 于 一 个 系统 而 言 , 如 果 它 的 初始 状态 是 安全 的 ,并 且 所 经 过 的 一 系列 
规则 转换 都 保持 安全 ,那么 可 以 证 明 该 系统 的 终了 也 是 安全 的 。 

2 模型 元 素 

为 了 对 访问 控制 机 制 进行 形式 化 阐述 ,Bell-LaPadula 模型 从 形式 化 的 角度 出 发 ,对 
模型 中 涉及 的 元 素 进行 了 数学 形式 上 的 定义 。 

1) 模型 元 素 的 含义 

表 4-1 给 出 了 BLP 模型 中 定义 的 部 分 元 素 及 相应 的 说 明 。 

表 4-1 BLP 模型 中 定义 的 部 分 元 素 及 相应 的 说 明 


元 素 集 元 素 说 明 
5 {S1, S2,°…, S,} 主体 : 进程 等 
s S 的 子 集 受 * 特性 控制 的 主体 
Sr SS 可 信和 主体 
0 {O01, 0 ，O。)} 客体 : 数据 ,文件 等 
C {C，C…，C) 其 中 C> Co>>…> Cu 密级 
K {Ki, K:,*, K,} 范畴 
{Li,Ls，,…,Ls} 其 中 LL/=(C;,K) 安全 级 
A {r, w, e, a} 访问 属性 
请 求 元 素 : 
RA {g，r) g: get，give 
r: release, rescind 
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续 表 
元 素 集 元 素 说 明 
UU R9 .其 中 请 求 ， 
1<i<5 ~ 
Ra 一 RAXSXOXA edd 
R RO 一 SXRAXSXOXA Bn 
OA OE Re : 请 求 产 生 一 个 新 的 客体 
Re 一 SXxO RO; 请 求 删 除 一 个 客体 
民生 SE R' : 请求 改 变 安全 级 
D {yes, no, error, ?} 判定 
至 (人 12) 时 刻 
访问 类 函数 
四 nl pA bs 万: 主体 安全 级 函数 
任意 一 元 素 记 为 [==(f;,f,,f.) 万: 客体 安全 级 函数 
f.: 主体 当前 安全 级 函数 
R" ,其 中 XX 中 的 任意 一 元 素 记 为 zx 请 求 序列 
牙 DT ,其 中 Y 中 的 任意 一 元 素 记 为 y 判定 序列 
M {Mi, M2,*, M.} 访问 矩阵 
二 P(SXOXA)XMXFXH 状态 
V 中 的 任意 一 元 素 记 为 v 
Z V7, 其 中 2Z 中 的 任意 一 元 素 记 为 < 状态 序列 


2) 系统 状态 表示 


状态 是 系统 中 元 素 的 表示 形式 , 它 由 主体 、 客 体 、 访 问 属性 、 访 问 和 矩阵 以 及 标识 主体 和 
客体 的 访问 类 属性 的 函数 组 成 。 状 态 vEYV 由 一 个 有 序 的 四 元 组 (0,M, 太 , 五) 表示 ， 
其 中 : 

bS(SXOXxA) 表示 在 某 个 特定 的 状态 下 ,哪些 主体 以 何 种 访问 属性 访问 哪些 客 
体 ,其 中 S 是 主体 集 ,O 为 客体 集 ,A={r,w,a'e) 是 访问 属性 集 ; 

M 表示 访问 矩阵 ,其 中 元 素 MiSA 表示 主体 S; 对 客体 0; 具有 的 访问 权限 ; 

fEF 表示 访问 类 函数 , 记 作 f 王 (f,,f。,，f.) ,其 中 f; 表示 主体 的 安全 级 函数 (包括 
主体 的 密级 广 (S) 和 范畴 fs(S));f. 表示 主体 当前 有 安全 级 函数 (包括 主体 的 密级 f1.(S) 
和 范畴 fs.(S));f。 表示 客体 的 安全 级 函数 (包括 客体 的 密级 户 (O) 和 范畴 f4(0)); 

五 ”表示 当前 的 层次 结构 , 即 当 前 客体 的 树 状 结构 ,OiE 互 CO) 表示 在 此 树 状 结构 
中 ,O; 为 叶子 结 点 ,O 为 父 结 点 。 元 素 瑟 在 互生 (PO)2( 其 中 PO 表示 O 的 寡 子 集 ) 中 ,iff 

。 O:#¥0,>H(O)NH(O)=$; 

。 不 存在 集合 {Oi ,O: ,…',O。 } 使 得 对 每 一 个 ~,1 委 r 委 记 , 使 得 OH EH(O,), 且 

DO 
3) 安全 系统 的 定义 
定义 规则 p 为 函数 p:RXV 一 DXV, 对 规则 的 解释 为 ,给 定 一 个 请 求 和 一 个 状态 , 规 
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则 jp 决定 系统 产生 的 一 个 响应 和 下 一 状态 。 其 中 R 为 请 求 集 ,V 为 状态 集 ,DD 为 判定 集 
{yes，no，error，?} ,yes 表示 请 求 被 执行 ,no 表示 请 求 被 拒绝 ,error 表示 有 多 个 规则 适 
用 于 这 一 请 求 - 状 态 对 ,? 表示 规则 p 不 能 处 理 此 请 求 。 设 w= {pi,p;，…,p,}) 是 相对 于 RR， 
D,V 的 一 组 规则 集 , 关 系 W(w)SRXDXVXV 定义 为 : 

CR Dao ,v) EW(w),iffD;, 饭 ? 并 且 存 在 唯一 的 i,1 二 i 过 s, 使 得 (D,,v”) 二 


CRV) 

系统 5(R,D,W ,zo)CXXYXZ 定义 为 (zx,y,z) E33(R,D,W ,zo),iff 对 每 一 个 +:€ 
T, 《zisyisZiozZ-1) EW, 其 中 zo 是 初始 状态 ;系统 5(R,D,W ,zo) 是 一 安全 系统 ,iff 系统 
的 每 一 个 状态 (zo ,zi ,… ,z,) 均 为 安全 状态 。 

3 模型 的 几 个 重要 公理 


为 了 解释 什么 样 的 状态 是 一 个 安全 状态 ,什么 样 的 系统 是 一 个 安全 系统 ,BLP 模型 
制定 了 一 组 安全 公理 (特性 )。 
1) 简单 安全 性 (Simple-Security Property) 
状态 v= 二 (5,M, 了 , 昌 ) 满 足 简单 安全 性 (ss-property) ,iff 所 有 的 
SE S>[(O ELS:r,w))S(f(S) Df, (0))] 
其 中 ,符号 已 表示 前 者 支配 后 者 , 即 (f1(S) 这 fs(0) ,fs(S) 必 fC(O0)) ;0(S: zi sx,T,) 
表示 5 中 主体 S 对 其 具有 访问 权限 zx;(1 志 i<n) 的 所 有 客体 集合 。 
2) x* 特性 ( x property) 
如 前 所 述 ,S' 是 S 的 一 个 子 集 ,状态 v= 二 (5,M,f, 昌 ) 满 足 相 对 于 S' 的 * 特性 ( 记 为 
x property rel S') ,if 所 有 的 
(OE€ b(S:a))=>(f, (0) Pf.(S)) 
SES=>1(0€b(S:w))S(f,(0) = f.(9)) 
(O € b(S:r))S(f.(S) Pf,O0)) 
3) 自主 安全 性 (Discretionary-Security) 
状态 v=(5,M,f, 旦 ) 满 足 自主 安全 性 ,iff 所 有 的 (Si,O; ,zx) Eb>X€E Mi。 
4) 兼容 性 公理 (Compatibility) 
状态 v 一 (0,M, 太 , 妃 ) 满 足 兼容 性 ,这 所 有 的 OEO, 有 OEECO) 过 f,(01) Pf,(O)，。 


4 状态 转换 规则 
如 前 所 述 ,规则 op 定义 为 函数 op:RXV 一 DXV。 规 则 po 保持 系统 安全 状态 ,iff 所 有 的 
CRV) 一 (Du ) , 均 有 
v 是 安全 状态 二 >v* 是 安全 状态 。 即 : 
(1) 规则 o 保持 简单 安全 性 , 即 对 所 有 的 p(Ri,v) 二 (D,v” ), 均 有 
vu 保持 简单 安全 性 二 v* 也 保持 简单 安全 性 。 
(2) 规则 o 保持 * 特性 , 即 对 所 有 的 p(Ri,v) 王 (D,v” ), 均 有 
ov 保持 * 特性 全 v 也 保持 * 特性 。 
(3) 规则 o 保持 自主 安全 性 , 即 对 所 有 的 p(Ri,v) 二 (D,v” ), 均 有 
刀 保 持 自主 安全 性 字 v 也 保持 自主 安全 性 。 
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模型 共 定义 了 11 条 安全 状态 转换 规则 ,具体 描述 如 下 : 
规则 1(R1) 表示 主体 对 客体 请 求 * 只 读 ? 访 问 : get-read。 


【定义 域 】 
R 一 (g,SiOi,r) EROD (CR 的 定义 域 记 为 dom(R,)) 
* 特性 函数 : 
x*1 (Ri,v) = trueSf.(S) Pf,(0,) 
【规则 】 
《55 如 果 RE dom(R1) 
(yes, (0 U (Si,0;,7),M,f,H))， 如 果 [R € dom(R1)] & LeEM] 
R1(R;,v) = & [f.(Si) Df,(0;)] 
& [S; € Sr or *1(R,,v)] 
(no,v), 其 他 
【规则 解释 】 


当 符 合 以 下 条 件 时 ,主体 S; 可 以 对 客体 0; 进行 “只 读 ” 访 问 : 
。 主体 S; 的 访问 属性 中 有 对 客体 的 “只 读 ” 权 限 ; 

。 主体 的 安全 级 支配 客体 的 安全 级 ; 

。 主体 是 可 信和 主体 或 主体 当前 的 安全 级 支配 客体 的 安全 级 。 
规则 2(R2) 表示 主体 对 客体 请 求 “只 写 ” 访 问 : getrappend。 


【定义 域 】 
R= (gS Oa EE RY 
* 特性 函数 : 
*2 (Ri,v) = trueSf,(O;) Df.(S;) 
【规则 】 
(?,0), 如 果 R & dom(R2) 


a (yes, (DU (Si,0;,7),M,f,HH))， 如果 [RE dom(R2)] & [a € M;] 
& [S; € Sr or x* 2(R,,v)] 
(no,v), 其 他 

【规则 解释 】 

当 符合 以 下 条 件 时 ,主体 S; 可 以 对 客体 O; 进行 “只 写 ” 访 问 : 

。 主体 S; 的 访问 属性 中 有 对 客体 的 “只 写 ” 权 限 ; 

。 主体 是 可 信和 主体 或 客体 的 安全 级 支配 主体 当前 的 安全 级 。 

规则 3(R3) ”表示 主体 对 客体 请 求 “ 执 行 ”访问 : get-execute。 


【定义 域 】 
R; = (g,S;;0O;,e) € RY 
* 特性 函数 : 
<3 (R;,v) = true 
【规则 】 
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(7?,0), 如 果 R; 多 dom(R3) 
R3(Risv) = (yes; (6 U (Si,0;,7) ,Mf,H))， 如果 [Ri € dom(R3)] & [ee M,] 
(no,v), 其 他 
【规则 解释 】 


当 符 合 以 下 条 件 时 ,主体 S; 可 以 对 客体 O; 进行 “执行 ”访问 : 
主体 S; 的 访问 属性 中 有 对 客体 的 “执行 ”权限 。 
规则 4(R4) ”表示 主体 对 客体 请 求 “ 读 写 "访问: get-write。 


【定义 域 】 
R; = (g;Si;O0;,w) € RY 
* 特性 函数 : 
x*4 (Ri,v) = trueSf.(S;) = f,(0;) 

【规则 】 

(?,v), 如 果 R dom(R4) 

(yes,(b U (Si,O0;,7),M,f, 昌 ))， 如 果 [Ri € dom(R4)] &[w € My 

R4(Ri,v) = CACSD DACOND TE 
[S; € Sr or *4(R,,v)] 

(no,v), 其 他 

【规则 解释 】 


当 符 合 以 下 条 件 时 ,主体 可 以 对 客体 进行 “ 读 写 ”访问 : 

。 主体 S; 的 访问 属性 中 有 对 客体 的 “ 读 写 ? 权 限 ; 

。 主体 S; 的 安全 级 支配 客体 的 安全 级 ; 

。 主体 为 可 信和 主体 或 主体 的 当前 安全 级 等 于 客体 的 安全 级 。 

规则 5(R5) 表示 主体 释放 对 客体 访问 属性 : release-read/execute/ write/append。 


【定义 域 】 
R 一 (r,SOi,zZ)ERO ZEA 
* 特性 函数 : 
x*5 (Ri,v) = true 

【规则 】 

(yes, (0 一 (SOi,z),M, 太 万 ))， 如 果 [LR € dom(R5)] 

R5(R;,v) = 

(7,v), 其 他 

【规则 解释 】 


如 果 请 求 不 在 定义 域 范 围 内 , 则 不 会 发 生 状态 的 变化 (?) ;否则 ,将 从 主体 5; 的 访问 
属性 中 去 除 对 客体 O 的 z 访问 属性 。 
规则 6(R6) 表示 授予 另 一 主体 对 客体 访问 属性 : give-read/execute/ write/append。 
【定义 域 】 
Ri= (SgsSisO0; x2) E RY? zrzEA 
* 特性 函数 : 
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x*x6 (Ri,v) 一 true 
【规则 】 
(?,v), 如 果 R 和 代 dom(CR6) 
(yes, (0,M\M; U {z),f; 晶 )， 如 果 [R € dom(R6)] & 
[< [Oo # OgJ&[LOw, # Og] 
ROCRi sd) = Oe do 
~ [Ow = Or I&[LGIVE(S, ,0; ,v)] > or 
< [O; = Orj&[LGIVE(S, ,Or ,v1 >]; 
(no,v), 其 他 
其 中 ,0 表示 O; 的 父 结 点 ;表达 式 GIVE(S, ,Oi ,v) 为 真 ,iff O; 二 OF 或 Oiw 二 Ok 时 ,S， 
在 状态 v 下 能 够 授予 对 O 的 访问 权 ; 符 号 A\B 表示 命题 A 中 的 元 素 B 进行 了 相应 的 修 
改 , 如 此 命题 中 即 表示 “访问 矩阵 M 中 的 元 素 My 以 元 素 Ms U {zx} 代替 ”。 
【规则 解释 】 
当 符 合 以 下 条 件 时 ,主体 S 可 以 授予 男 一 主体 S; 对 客体 0; 的 访问 权限 : 
。 客体 O; 不 是 层次 树 的 根 结 点 ,主体 S; 的 访问 属性 中 有 对 O; 的 父 结 点 Oo 的 “ 读 
写 ” 权 限 ; 
。 客体 0; 是 层次 树 的 根 结 点 ,并 且 主 体 S 有 权 在 当前 状态 下 授予 对 O; 的 访问 权 。 
规则 7(R7) 表示 撤销 另 一 主体 对 客体 访问 属性 : rescind-read/execute/write/ 
append。 


【定义 域 】 
Ri; = (SsrsSisO; ,zx) ER zzEA 
* 特性 函数 : 
x*x7(R;,v) = true 
【规则 】 


Cams 如 果 R; dom(R7) 
(yes, (5b 一 (Si;,O; ,xX)， 如 果 [CR € dom(R7)] & 
R7(Ri,v) = $1M\Ms — {xz},f,H)), [< [0O; 和 OOR]& [LO Eb(S:w)] > or 
< [O; = Og J]&[RESCIND(S, ,0; ,v)] >] 
(no,v), 其 他 
其 中 ,表达 式 RESCIND(S; ,O,v) 为 真 ,iff: S; 在 状态 v 下 能 够 撤销 对 O 的 访问 权 。 
【规则 解释 】 
当 符 合 以 下 条 件 时 ,主体 可 以 授予 男 一 主体 对 客体 的 访问 权限 : 
。 客体 O; 不 是 层次 树 的 根 结 点 ,并 且 主 体 S 的 访问 属性 中 有 对 O; 的 父 结 点 Oo 
的 “ 读 写 "权限; 
。 客体 0; 是 层次 树 的 根 结 点 ,并 且 主 体 S 有 权 在 当前 状态 下 撤销 对 O; 的 访问 权 。 
规则 8(R8) 表示 创建 一 客体 (保持 兼容 性 ) : create-object。 
【定义 域 】 
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Ri -=HOL EE RY 
* 特性 函数 : 
x*x 8(R;,v) = true 
【规则 】 
(7,v), 如 果 Re & dom(R8) 
(yes,(b, M, AN\f。—f,。U 如 果 [RE dom(R8)] & 
R8(Ri;,v) = 4 (Osewon sLs)» H U (O;sOsewan))), [LO € b(Siiwsa)| & 
[LEAF(O Ys 
(no,v), 其 他 
【规则 解释 】 
当 符 合 以 下 条 件 时 ,主体 S; 可 以 创建 安全 级 为 工 ,, 父 结 点 为 0; 的 客体 ONswcm ，, 即 
ONswcm E 万 (Oi ) : 
。 主体 S; 当前 可 以 “ 读 写 ” 权 限 或 “只 写 ” 权 限 访 问 客体 Oi ; 
。 安全 级 L, 支配 客体 O 的 安全 级 。 
规则 9(R9) 表示 删除 一 组 客体 : delete-object-group。 


【定义 域 】 
R; = ($i;0;) € RY 
* 特性 函数 : 
x* 9(R;,,v) = true 
【规则 】 
(7?,v), 如 果 Re & dom(R9) 
(yes, (5 一 ACCESS(O;)， 如 果 [R € dom(R9)] 
R9CR, ,0) = MM yp:1 乏 vv 委 2，& [Oo 和 Oo 


O。 € INFERIOR(CO) )， & LO E b(Si:w)]; 

f, H— SUBTREE (O))， 

(no,v), 其 他 

其 中 ,INFERIOR(0O;) 指 0; 的 所 有 子 结 点 ,包括 O; 本 身 ;SUBTREE(O; ) 指 0; 的 所 有 有 
儿子 的 子 结 点 ;ACCESS(CO) ) 指 对 O; 的 访问 权 , 即 (SXINFERIOR(CO)XA) 门 2。 


【规则 解释 】 
当 符 合 以 下 条 件 时 ,主体 S; 可 以 删除 客体 O;( 包 括 下 面 的 所 有 客体 ): 
主体 S; 当前 对 客体 O; 的 父 结 点 Op 有 " 读 写 ?权限 并 且 客 体 0; 不 是 根 结 点 。 
规则 10(R10) 表示 改变 主体 当前 安全 级 : change-subject-current-security-level。 
【定义 域 】 

Ry = (DE RY 
* 特性 函数 : 


[O; € b(S;i:a)>f,(0;) DL, 1& 
x*10 (Ri,v) = trueS[O; € b(S;:w)>L, = f,(0;)]& 
[LO € b(S;:n)>L, Pf,(0;)] 
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【规则 】 
(?5v)s 如 果 R; 4 dom(R10) 
(yes, (5b,M,ANf.(S;) <—L,, 晶 ))， 如 果 [RE dom(R10)] 
R10(Ri,v) = & [LACSO DL 
&[S; € Sr or *10(R,,v)] 
(no,v), 其 他 
【规则 解释 】 


当 符合 以 下 条 件 时 ,主体 S; 可 以 改变 其 当前 的 安全 级 至 工 ,: 
。 主体 S; 是 可 信和 主体 ,或 它 的 安全 级 被 改变 为 L,, 且 导致 的 状态 满足 x 特性 ; 
。 主体 S; 的 安全 级 支配 工 ,。 
规则 11(R11) 表示 改变 客体 的 安全 级 : change-object-security-level。 
【定义 域 】 
Ri = (r;S,,0,,L.) € R® 
* 特性 函数 : 
[CSi,0;,a) € 0 一 [PACS & 
#x 11 (Ri,v) = true 傅 for each S$, € ST(Si30, sy E bf.(S) = LL & 
[CS ,On € b=f.(S,) DL,] 


【规则 】 
(7?,v), 如 果 Re F dom(R11) 
(yes,(b,M， 八 f,(O;)” 如果 [R € dom(R11)] &. 
二 [<S;€ Sr & fCSDDI OY > or 
< SDE PAOYS 
R11(R;,v) = & [for each S € SL(O; € b(S:r,w)) 


>(f.(S) DBL,)]] 
& [x11(Ri,v)] & [COMPAT(v,O;,L,)] 
&[CHANGE(v,O;,L.)] ; 
(no,m) ， 其 他 
其 中 ,COMPAT(u,Oi ,LL,) 二 true 今 对 任意 的 O, EH(O;), 有 : 
[ED etowme LONDL 
CHANGE(wv,0; ,L,) 二 true 仿 S; 有 权 改 变 0; 的 安全 级 。 
【规则 解释 】 
当 符 合 以 下 条 件 时 ,主体 S; 可 以 改变 客体 O; 的 安全 级 至 工 ,: 
。 S; 是 可 信和 主体 并 且 其 当前 安全 级 支配 客体 0; 的 安全 级 或 主体 S; 的 安全 级 支配 
工 ,, 而 LL, 又 支配 客体 O; 的 安全 级 ; 
。 如 果 有 主体 S 当前 正 以 “只 读 ” 或 “ 读 写 ” 模 式 访问 客体 0; ,那么 应 保证 该 主体 S 
的 当前 安全 级 支配 二 
。 客体 0; 的 安全 级 被 改变 为 L, 且 导 致 的 状态 满足 * 特性 ; 
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。 客体 O; 的 安全 级 被 改变 为 L, 且 导 致 的 状态 满足 兼容 性 ; 
。 主体 S 有 权 改 变 客 体 O; 的 安全 级 。 


5 模型 的 几 个 重要 定理 
BLP 模型 为 了 证 明 系统 为 安全 状态 及 转换 规则 保持 安全 状态 ,证 明了 10 个 重要 的 
定理 : 


定理 4-4.1 对 每 一 个 初始 状态 xm ,系统 >) (R,D,W ,zo。) 满足 简单 安全 特性 if 
对 每 一 个 行为 (Ri ,Di, (0 ,M* ,f* ,H* ),(5,M,f, 日 )) ,关系 W(w) 满 足 ; 
对 任意 (S,O,z) Eb* 一 b 满足 相对 于 f ”的 简单 安全 性 (ssc rel f° ); 
对 任意 (S,O,z) E56 不 满足 相对 于 广 的 简单 安全 性 的 不 在 5 内。 
定理 4-4.2 对 每 一 个 满足 相对 于 S 的 * 特性 的 初始 状态 zo ,系统 3(R,D,W ,xzo) 满 
足 相 对 于 S 的 * 特性 iff 对 每 一 个 行为 (R;,D;,(b*,M* ,f*,H*),(b5,M,f, 昌 )) ,关系 
W(w) 满 足 : 
OE (bp* —b)(S:a Sf (OD fe (S) 
对 任意 的 SES', 有 : 10E€(b* 一 D)(S:w) 坟 fi2 (0)=f2 (S) 
OE (六 一 0)(CS: 站 一 产 (S) fi (O) 
OE (六 一 0)(S: a) & fi (O) Bf: (S)>O0¢6" (S, a) 
对 任意 的 SES' ,有 : 10E€(b* 一 bD)(S: wR fi (O)Afi (SOFb’ (S, w) 
OE (b* —b)(S: Ef (O) Bf (S)>O0¢0" (S, 7) 
定理 4-4.3 系统 >》)(R,D,W ,zo) 满足 自主 安全 特性 ,iff z。 满足 自主 安全 特性 并 
且 对 每 一 个 行为 (Ri ,Di, (0 ,M* ,f* ,H*),(5b,M,f, 日 )) ,关系 W 满足 : 
对 任意 (Si,O; ,ZE 一 0 一 EMi ; 
对 任意 (S ,0 ,zx) Eb* 一 b &. x Mi; >(Si,0; .7x) 0" )。 
推论 4-4. 1( 基 本 安全 公理 ) 系统 》) (R,D,W ,zo。) 是 一 个 安全 系统 ,iff zo。 是 一 安 
全 状态 并 且 对 于 每 一 个 行为 (action) ,关系 W 满足 定理 4-4.1、 定 理 4-4.2 和 定理 4-4.3。 
定理 4-4.4 ”假设 关系 W 是 一 套 保 持 简单 安全 性 的 规则 并 且 x。 满足 简单 安全 性 , 则 
系统 》)(R,D,W(w) ,zo) 满足 简单 安全 特性 。 
定理 4-4.5 ”假设 关系 W 是 一 套 保持 * 特性 的 规则 并 且 x。 满足 * 特性 , 则 系统 
>) (R,D,W(w) ,zo) 满足 x 特性 。 
定理 4-4.6 假设 关系 W 是 一 套 保持 自主 特性 的 规则 并 且 =。 满足 自主 特性 , 则 系统 
2 (R,D,W(w) ,zo) 满足 自主 安全 特性 。 
定理 4-4.7 若 v==(5,M,f, 昌 ) 满 足 简 单 安全 特性 ,并 且 (S,O0,zx)&b,b* = 二 bU 1{(S， 
O,z)), 则 过 一 (0 ,M,f, 昌 ) 满 足 简单 安全 性 ,iff 
( 工 一 eor 工 一 Q&) or 
(z=rorz= w) and f.(S)Pf,O) 
定理 4-4.8 车 v= 二 (5,M,f, 晶 ) 满 足 相 对 于 S'CS 的 x* 特 性 ,并 且 对 任意 SCS' 并 且 
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(S,O,z)E0,0 一 0U(CS,O,z)), 则 坟 王 (0 M,F, 瑟 ) 满 足 相 对 于 S 的 * 特性 ,iff 
让 工 一 athen 几 (O)> 广 CS) 
fw = withen f,(0) = f.(8) 
if zx =rthen f.(S)Df,O) 
定理 4-4.9 若 v==(5,M,f, 昌 ) 满 足 自主 安全 特性 , 且 (S;,O; ,zx) 0,6* 二 bU 1{(S;， 
Oj;,z)) , 则 wv" 二 (6*,M,f, 吾 ) 满 足 自主 安全 特性 ,iff zx€ M; 。 
定理 4-4.10 设 6 为 一 规则 并 且 p (Ri,v) 二 (Ds,v*),v= 二 (6,M,f,H),v’* 二 (4b*， 
M*,f*,H*), 则 有 : 
如 果 4* S65, 并 且 广 三 广 则 规则 o 保持 简单 安全 性 ; 
如 果 65" 5, 并 且 广 三 广 则 规则 o 保持 * 特 性 ; 
如 果 b* 5b, 并 且 对 任意 的 i, 7 有 Mj 二 Mi; , 则 规则 o 保持 自主 安全 特性 ; 
如 果 64* Sb,f* = 二 f ,并且 对 任意 的 i,j 有 M3 二 Mj; , 则 规则 o 保持 安全 状态 。 
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BLP 模型 的 安全 策略 包括 强制 存 取 控制 和 自主 存 取 控制 两 部 分 。 强 制 存 取 控制 部 
分 由 简单 安全 特性 和 * 特性 组 成 ,通过 安全 级 强制 性 约束 主体 对 客体 的 存 取 ; 自 主 存 取 控 
制 通过 存 取 控制 矩阵 按 用 户 的 意愿 进行 存 取 控制 。 

多 年 以 来 ,BLP 模型 在 建立 安全 系统 的 活动 中 一 直 占 据 着 主导 地 位 ,包括 在 军事 和 
商业 界 的 安全 操作 系统 .安全 文件 系统 和 安全 数据 库 系 统 中 均 得 到 了 广泛 的 应 用 和 实践 。 
但 多 数 安全 系统 的 实践 表明 ,严格 实施 原型 Bell-LaPadula 模型 的 安全 性 质 的 系统 往往 是 
不 实际 的 。 在 真实 的 系统 中 ,用 户 可 能 调用 某 个 操作 会 违背 * 特性 ,但 并 不 会 违背 系统 的 
安全 性 ,例如 ,一 个 用 户 可 能 要 从 一 个 机 密 性 文件 中 摘 取 一 节 非 机 密 性 的 内 容 , 并 将 它 应 
用 到 另 一 个 非 机 密 性 的 文件 中 ,这 种 操作 在 严格 实施 * 特性 的 系统 中 是 被 禁止 的 。 因 此 ， 
为 了 保证 系统 的 可 用 性 ,BLP 模型 包含 了 一 类 可 信 主 体 ,这 些 主体 是 可 信 的 , 当 且 仅 当 它 
们 可 以 违背 * 特性 ,但 是 不 会 违背 系统 的 安全 性 。 

但 随 着 计算 机 安全 理论 和 技术 的 发 展 ,BLP 模型 已 不 足以 描述 各 种 各 样 的 安全 需 
求 。 应 用 BLP 模型 的 安全 系统 还 应 考虑 以 下 几 个 方面 的 问题 : 

(1) 在 BLP 模型 中 ,可 信和 主体 不 受 * 特性 约束 ,访问 权限 太 大 ,不 符合 最 小 特权 原 
则 ,应 对 可 信 主 体 的 操作 权限 和 应 用 范围 进一步 细 化 。 

例如 ,可 以 将 操作 系统 的 所 有 特权 细 分 成 一 组 细 粒 度 的 特权 ,P=={ pi， ps，*…,p,)， 
这 些 特权 分 别 组 成 若干 个 特权 子 集 ,如 Ps、Pt、Pm、Pn 等 。 若 把 拥有 一 个 特权 子 集 可 以 
完成 的 特权 操作 定义 为 角色”, 把 这 些 “ 角 色 ” 赋 了 予 系统 中 的 指定 用 户 。 这 样 , 操 作 系 统 中 
就 存在 若干 个 特权 用 户 ,这 些 特权 用 户 共同 完成 系统 的 特权 操作 。 每 一 个 特权 用 户 ( 角 
色 ) 都 不 能 独自 控制 整个 系统 , 且 所 有 的 特权 用 户 操作 都 会 被 系统 审计 记录 ,审计 操作 是 
在 特权 用 户 无 法 干预 的 情况 下 进行 的 。 

同样 操作 系统 的 特权 操作 必须 拥有 相应 特权 的 用 户 或 进程 才能 完成 ,安全 内 核 将 对 
特权 操作 进行 特权 检查 。 

(2) BLP 模型 主要 注重 保密 性 控制 ,控制 信息 从 低 安全 级 传 向 高 安全 级 ,而 缺少 完整 
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性 控制 ,不 能 控制 “向 上 写 (write up) ”操作 ,而 “向 上 写 ” 操 作 存 在 着 潜在 的 问题 , 它 不 能 
有 效 地 限制 隐蔽 通道 。 

例如 假定 在 一 个 系统 中 ,“ 向 上 写 ” 是 允许 的 ,系统 中 的 文件 /data 的 安全 级 支配 进程 
B 的 安全 级 , 即 进程 B 对 文件 /data 有 MAC 写 权 限 而 没有 MAC 读 权限 ,进程 B 可 以 写 
打开 、 关 闭 文件 /data。 因 此 ,每 当 进 程 B 为 写 而 打开 文件 /data 时 ,总 返回 一 个 是 否 成 功 
打开 文件 的 标志 信息 。 这 个 标志 信息 就 是 一 个 隐藏 通道 , 它 可 以 导致 信息 从 高 安全 级 流 
向 低 安全 级 。 即 可 以 用 来 向 进程 B 传递 它 本 不 能 存 取 的 信息 。 图 4-2 中 给 出 了 两 个 协作 
进程 利用 这 个 隐 项 通道 传递 敏感 信息 的 过 程 : 


反馈 的 状态 信息 
图 4-2 基于 * 向 上 写 ” 策 略 的 隐蔽 通道 


进程 A 启动 一 个 绝密 级 的 进程 ;进程 B 启动 一 个 公开 进程 。 

Q@ 进程 A 创建 绝密 信息 文件 /data。 

@ 进程 B 打开 文件 /control, 并 写 入 一 个 字 节 。 同 时 ,进程 A 一 直 监 控 文 件 
/control。 当 它 发 现 /control 的 长 度 增加 时 , 则 说 明 已 经 和 进程 B 同步 ,可 以 开始 发 送信 
息 了 。 

@ 进程 A 改变 文件 /data 的 DAC 存 取 模式 。 例 如 ,车 允许 进程 B 写 该 文件 ,意味 着 
进程 A 发 送 二 进 制 编码 1; 否 则 ,进程 要 发 送 二 进 制 编码 0。 

@ 进程 B 试 图 写 打 开 文 件 /data, 则 它 将 得 到 成 功 或 失败 两 种 结果 信息 。 如 果 进 程 B 
得 到 的 是 成 功 的 结果 信息 , 则 代表 接收 了 二 进 制 编码 1, 进 程 B 得 到 的 是 失败 的 结果 信 
息 , 则 代表 接收 了 二 进 制 编码 0。 

@ 进程 B 每 当 接收 一 个 二 进 制 编码 信息 , 则 将 其 写 入 文件 /control, 进 程 A 则 通过 
检查 文件 /control 的 内 容 , 知 道 信 息 传递 是 否 正确 。 

Q@ 反复 四 一 @@ 的 动作 ,直到 绝密 信息 全 部 从 进程 A 传 给 进程 B, 变 成 公开 信息 为 止 。 

因此 ,大 多 数 基 于 BLP 模型 实现 的 多 级 安全 系统 ,规定 只 能 向 具有 和 主体 安全 级 相 
同 的 客体 写 入 信息 , 即 对 BLP 模型 做 如 下 修改 : 

以 CLASS(S) .CLASS(CO) 表 示 主 体 与 客体 的 安全 级 ,强制 性 安全 策略 定义 为 


if CLIASS(S)>=CIASS(O) 
then Read(S,0) or Fxecute(S,0); 
if CLIASS(S)=CIASS(O) 
then Write(S,0) or Append(S,0); 
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此 外 ,Landwehr 也 曾 指 出 BLP 模型 存在 以 下 三 方面 的 不 足 : 

(1) 模型 使 用 了 与 可 信 主 体 相 关 的 安全 规则 ,这 使 得 人 们 很 难 确定 系统 执行 的 安全 
规则 的 确定 特性 ,也 就 是 说 ,系统 真正 执行 的 安全 规则 既 有 BLP 的 安全 规则 又 有 可 信和 主 
体 超 越 BLP 安全 规则 的 规则 。 

(2) BLP 仅 处 理 单 级 客体 (single-level object) ,缺乏 处 理 多 级 客体 (mnutilevel object) 
的 相关 机 制 , 但 是 一 些 信息 系统 的 数据 对 象 (如 硬盘 ) 只 能 按 多 级 对 象 处 理 。 

(3) 没有 支持 应 用 相关 的 安全 规则 。 

因此 ,许多 基于 BLP 模型 实现 的 多 级 安全 系统 ,通过 引入 可 信和 主体 ,为 主 /客体 分 配 
多 个 密级 或 一 个 密级 范围 , 读 写 权限 的 严格 分 离 等 ,对 BLP 模型 进行 改进 。 其 中 
Feiertag 等 对 于 BLP 模型 的 定义 最 简洁 ,并 且 被 广泛 采用 。 除 了 简单 特性 、* 特性 外 它 
新 定义 了 平稳 法 则 、 非 活动 客体 不 可 存 取 性 、 新 创建 客体 重 写 性 。 

@ 平 稳 法 则 ,主体 不 能 改变 活动 客体 的 安全 级 ; 

@ 非 活 动 客体 不 可 存 取 性 ,主体 不 能 阅读 非 活 动 客体 内 容 ; 

@ 新 创建 客体 重 写 性 ,新 创建 的 客体 被 赋予 与 其 以 前 任何 客体 无 关 的 初始 状态 。 


45 完整 性 安全 模型 


这 里 主要 介绍 具有 代表 性 的 Biba 完整 性 安全 模型 和 Clark-Wilson 完整 性 安全 模型 。 
451 Biba 模 型 


1. 基本 概念 

BLP 模型 通过 防止 非 授 权 信 息 的 扩散 保证 系统 的 安全 ,但 它 不 能 防止 非 授 权 修改 系 
统 信息 。 于 是 Biba 等 人 在 1977 年 提出 了 第 一 个 完整 性 安全 模型 一 一 Biba 模型 ,其 主要 
应 用 类 似 BLP 模型 的 规则 来 保护 信息 的 完整 性 。Biba 模型 也 是 基于 主体 .客体 以 及 它们 
级 别 的 概念 。 模 型 中 主体 和 客体 的 概念 与 BLP 模型 相同 ,对 系统 中 的 每 个 主体 和 每 个 客 
体 均 分 配 一 个 级 别 , 称 为 完整 级 别 。 

每 个 完整 级 别 均 由 两 部 分 组 成 : 密级 和 范畴 。 其 中 ,密级 是 如 下 分 层 元 素 集合 中 的 
一 个 元 素 : { 极 重要 (Crucial) (C) ,非常 重要 (Very Important)(VI) ,重要 (Important) 
(了 )}。 此 集合 是 全 序 的 , 即 CVI>I。 范 畴 的 定义 与 BLP 模型 类 似 。 

完整 级 别 形成 服从 偏 序 关系 的 格 ,此 偏 序 关系 称 为 支配 (三 ) 关 系 。 

可 定义 如 下 完整 级 别 的 支配 关系 : 

设 完整 级 别 二 (C1,S1) ,Lz 二 (Cz ,Ss);L1 之 Lz 即 LL 支配 Li, 当 且 仅 当 C 之 C;, 且 
Si 二 S$;:。 

CC DS i>: 

可 以 类 似 地 定义 Li 二 L; ,Li 入 La: 。 

对 于 给 定 的 完整 级 别 Li 、L; ,车工 宇 Ls .Ls 宇 Li 均 不 成 立 , 则 Li 、L; 是 不 可 比 的 。 

模型 定义 主体 为 系统 中 所 有 能 够 存 取 信息 的 主动 元 素 , 例 如 用 户 进 程 。 系 统 中 每 个 
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用 户 被 分 配 一 个 完整 级 别 , 用 户 进 程 则 取 用 户 的 完整 级 别 。 用 户 的 完整 级 别 反映 用 户 搬 
人 人、 删除 .修改 信息 的 置信 和 度 。 

模型 定义 客体 为 系统 中 所 有 能 够 响应 存 取 要 求 的 被 动 元 素 , 例 如 文件 .程序 等 。 系 统 
中 每 个 客体 也 被 分 配 一 个 完整 级 别 , 此 完整 级 别 反映 对 存储 在 客体 中 的 信息 的 置信 程度 。 

模型 有 以 下 四 种 存 取 方 式 。 

(1) Modify, 向 客体 中 写 信息 。 类 似 其 他 模型 的 * 写 ” 存 取 方 式 。 

(2) Invoke, Invoke 操作 仅 能 用 于 主体 。 若 两 个 主体 间 有 Invoke 权限 , 则 允许 这 两 
个 主体 相互 通信 。 

(3) Observe, 从 客体 中 读 信息 。 类 似 其 他 模型 中 * 读 ? 存 取 方 式 。 

(4) Execute, 执 行 一 个 客体 (程序 )。 


2 状态 转换 规则 

模型 没有 提供 对 授权 状态 的 grant 和 revoke 的 管理 操作 ,要 改变 授权 状态 , 仅 能 通过 
直接 修改 与 客体 相 联 系 的 ACL 完成 ,而 安全 策略 规则 则 控制 状态 的 改变 。 

Biba 模型 提出 的 不 是 一 个 唯一 的 安全 策略 ,而 是 一 个 安全 策略 系列 。 每 种 安全 策略 
采用 不 同 的 条 件 保 证 信息 的 完整 性 。Biba 模型 的 安全 策略 可 以 分 为 两 大 类 : 非 自主 安全 
策略 与 自主 安全 策略 : 

1) 非 自 主 安全 策略 

韭 自主 安全 策略 基于 主体 和 客体 各 自 的 安全 级 别 ,确定 主体 对 客体 可 执行 的 存 取 方 
式 。 模 型 提供 如 下 的 非 自主 安全 级 别 。 

(1) 对 于 主体 的 下 限 标记 策略 (Low-Watermark Policy for Subjects ) 。 

此 策略 基于 以 下 规则 : 

。 一 个 主体 能 够 持 有 对 给 定 客体 的 modify 存 取 方式 , 仅 当 此 主体 的 完整 级 别 支 配 

该 客体 的 完整 级 别 。 

。 一 个 主体 能 够 持 有 对 另 一 个 主体 的 invoke 存 取 方式 , 仅 当 第 一 个 主体 的 完整 级 
别 支配 第 二 个 主体 的 完整 级 别 。 

。 一 个 主体 能 够 持 有 对 任何 客体 的 observe 存 取 方式 。 当 主体 执行 了 对 客体 的 
observe 操作 之 后 ,主体 的 完整 级 别 被 置 为 执行 存 取 之 前 主体 和 客体 的 完整 级 别 
的 最 小 上 界 。 

这 一 安全 策略 被 称 为 是 动态 的 ,因为 主体 在 对 具有 较 低 或 不 可 比 的 完整 级 别 的 客体 

执行 observe 操作 后 ,会 降低 本 身 的 完整 级 别 。 

此 安全 策略 的 主要 缺点 是 ,对 系统 的 存 取 可 能 要 依赖 提出 存 取 要 求 的 顺序 。 因 为 主 
体 在 对 某 些 持 有 较 低 或 不 相 容 的 完整 级 别 的 客体 执行 observe 操作 后 ,会 降低 自身 的 完 
整 级 别 , 这 就 有 可 能 减少 此 主体 可 存 取 的 客体 集 ,使 某 些 原来 对 主体 说 来 是 可 以 存 取 的 客 
体 在 执行 observe 操作 后 变 成 不 可 存 取 的 。 这 样 ,在 observe 操作 后 执行 的 某 些 modify 
或 invoke 操作 会 由 于 相应 的 客体 变 成 不 可 存 取 的 而 不 能 执行 。 

(2) 对 于 客体 的 下 限 标记 策略 (Low-Watermark Policy for Objects)。 

此 策略 基于 以 下 规则 : 
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小 


一 个 主体 能 够 对 具有 任何 完整 级 别 的 客体 持 有 modify 存 取 方式 。 当 主体 执行 了 对 
客体 的 modify 操作 后 ,客体 的 完整 级 别 被 置 为 执行 存 取 前 主体 和 客体 的 完整 级 别 的 最 大 
下 界 。 

这 一 安全 策略 也 被 称 为 是 动态 的 ,因为 被 执行 modify 操作 的 客体 有 可 能 改变 其 完整 
级 别 。 此 策略 不 是 防止 主体 modify 持 有 更 高 的 或 不 可 比 的 完整 级 别 的 客体 ,而 是 降低 被 
执行 modify 操作 的 客体 的 完整 级 别 。 

此 安全 策略 的 主要 缺点 是 允许 不 恰当 的 modify 存 取 降低 客体 的 完整 级 别 ,使 信息 完 
全 暴露 并 很 容易 泄露 ,而 且 信 息 由 高 完整 级 别 变 为 低 完整 级 别 后 也 是 不 能 恢复 的 。 

(3) 下 限 标 记 完 整 审计 策略 (Low-Watermark Integrity Audit Policy) 。 

此 策略 基于 如 下 规则 : 

一 个 主体 能 够 modify 具有 任何 完整 级 别 的 客体 。 如 果 一 个 主体 modify 一 个 具有 更 
高 或 不 可 比 的 完整 级 别 的 客体 ,这 一 违反 安全 的 操作 将 被 记录 在 审计 追踪 记录 中 。 

这 一 策略 是 对 于 客体 的 下 限 标记 策略 的 一 个 变种 ,只 是 在 此 策略 中 客体 的 完整 级 别 
是 固定 的 。 像 前 一 个 策略 一 样 , 这 一 策略 并 没有 防止 对 信息 的 不 恰当 的 modify, 只 是 使 
这 类 存 取 显示 化 。 客 体 实际 的 完整 级 别 或 当前 的 损坏 的 级 别 可 以 通过 检查 审计 追踪 记录 
计算 出 来 。 这 一 策略 的 缺点 是 允许 对 客体 的 不 恰当 的 modify 操作 。 

(4) 环 策略 (Ring Policy)。 在 这 一 策略 中 ,主体 和 客体 的 完整 级 别 在 其 生命 周期 中 
均 是 固定 的 。 此 策略 基于 以 下 规则 : 

。 一 个 主体 能 够 持 有 对 另 一 客体 的 modify 存 取 方式 , 仅 当 此 主体 的 完整 级 别 支配 

客体 的 完整 级 别 。 

。 一 个 主体 可 以 对 另 一 个 主体 持 有 invoke 存 取 方 式 , 仅 当 第 一 个 主体 的 完整 级 别 

支配 第 二 个 主体 的 完整 级 别 。 

。 主体 对 具有 任何 完整 级 别 的 客体 均 能 够 持 有 observe 存 取 方式 。 

这 一 策略 防止 主体 modify 具有 更 高 或 不 可 比 完整 级 别 的 客体 。 然 而 ,由 于 observe 
存 取 是 非 受 限 的 , 仍 可 能 发 生 不 恰当 的 modify 操作 。 如 一 个 具有 高 完整 级 别 的 主体 能 够 
observe 一 个 具有 较 低 完整 级 别 的 客体 ,然后 modify 具有 自己 安全 级 别 的 客体 ,这 样 信息 
就 从 低 完整 级 别 流向 高 或 不 可 比 完整 级 别 。 为 了 避免 这 种 情况 ,主体 在 使 用 来 自 低 完整 
级 别 客体 的 数据 时 要 十 分 小 心 。 

(5) 严格 完整 性 策略 (Strict Integrity Policy)。 

此 策略 基于 以 下 规则 : 

。 完整 性 星 规则 (Inetgrity * Property) 一 个 主体 能 够 对 一 个 客体 持 有 modify 存 取 
方式 , 仅 当 主体 的 完整 级 别 支 配 客 体 的 完整 级 别 ; 
调用 规则 (Invocation Property) 一 个 主体 能 够 对 另 一 个 主体 持 有 invoke 存 取 方 
式 , 仅 当 第 一 个 主体 的 完整 级 别 支配 第 二 个 主体 的 完整 级 别 ; 
简单 完整 条 件 (Simple Integrity Condition ) 一 个 主体 能 够 对 一 个 客体 持 有 
observe 存 取 方 式 , 仅 当 客 体 的 完整 级 别 支配 主体 的 完整 级 别 。 

此 策略 是 BLP 模型 的 安全 策略 用 于 完整 性 问题 的 版 本 。 前 两 个 规则 类 似 BLP 模型 
的 安全 规则 和 星 规则 ,只 是 完整 级 别 间 的 关系 是 相反 的 。 由 于 Biba 模型 中 没有 考虑 
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append 存 取 方式 ,主体 的 完整 级 别 也 是 唯一 的 ,使 其 星 规 则 得 到 简化 。 

严格 完整 策略 防止 信息 从 低 完 整 级 别 客体 向 高 或 不 可 比 完 整 级 别 客体 传递 ,保证 信 
息 流 仅 是 observe 和 modify 存 取 的 结果 。 

严格 完整 策略 规则 可 总 结 为 两 个 基本 规则 : No Read-Down 完整 规则 和 No Write- 
Up 完整 规则 。 

2) 自主 安全 策略 

Biba 模型 考虑 了 如 下 不 同 的 自主 存 取 控制 策略 。 

(1) 存 取 控制 列表 (Access Control List)。 对 每 个 客体 分 配 一 个 存 取 控制 列表 ,指明 
能 够 存 取 此 客体 的 主体 和 每 个 主体 能 够 对 此 客体 执行 的 存 取 方式 。 客 体 的 存 取 控制 列表 
可 以 被 对 此 客体 持 有 modify 存 取 方 式 的 主体 修改 。 

(2) 客体 层次 结构 (Object Hierarchy) 。 模 型 将 客体 组 织 成 层次 结构 ,此 层次 结构 是 
一 棵 带 根 的 树 。 一 个 客体 的 先驱 结 点 是 从 此 客体 结 点 到 根 的 路 径 上 的 结 点 。 若 一 个 主体 
要 存 取 一 个 客体 则 必须 对 此 客体 的 所 有 先驱 结 点 持 有 observe 存 取 方 式 。 

(3) 环 (Ring)。 对 每 个 主体 分 配 一 个 权限 属性 , 称 为 环 。 环 是 数字 的 , 低 数字 的 环 表 
示 高 的 权限 。 

此 策略 要 求 以 下 规则 成 立 : 

。 一 个 主体 仅 在 环 允 许 的 范围 中 能 够 对 客体 持 有 modify 存 取 方式 。 

。 一 个 主体 仅 在 环 允 许 的 范围 中 能 够 持 有 对 另 一 个 具有 更 高 权限 的 主体 的 invoke 

存 取 方 式 。 一 个 主体 能 够 对 任何 具有 较 低 或 相同 权限 的 主体 持 有 invoke 存 取 
方式 。 
。 一 个 主体 仅 在 环 允 许 的 范围 内 持 有 对 客体 的 observe 存 取 方式 。 


3 Biba 模型 分 析 
基于 Biba 模型 的 完整 性 存 取 控 制 方案 认为 在 一 个 系统 中 完整 性 策略 的 主要 目标 是 
用 以 防止 对 系统 数据 的 非 授 权 修 改 , 从 而 达到 对 整个 系统 数据 完整 性 进行 控制 的 目的 ,对 
于 职责 隔离 目标 , 则 是 通过 对 存 取 类 的 恰当 划分 方案 来 实现 的 。Biba 完整 性 模型 努力 去 
实现 与 Bell 和 LaPadula 所 定义 的 机 密 性 分 级 数据 安全 相 类 似 的 完整 性 分 级 数据 安全 。 
Biba 定义 了 一 个 与 BLP 模型 完全 相反 的 模型 ,在 Biba 模型 中 声称 数据 项 存在 于 不 同 的 
完整 级 上 ,文件 的 完整 性 级 别 标签 确定 其 内 容 的 完整 性 程度 ,并 且 系统 应 防止 的 完整 级 低 
的 数据 污染 高 完整 级 的 数据 ,特别 是 一 旦 一 个 程序 读 取 了 低 完 整 级 数据 ,系统 就 禁止 其 写 
高 完整 级 的 数据 。 但 当 要 把 保密 性 和 完整 性 一 同 考虑 时 ,必须 注意 不 要 混淆 保密 性 存 取 
类 和 完整 性 存 取 类 ,其 是 两 个 相互 独立 的 量 , 互 相 之 间 没 有 关系 。 例 如 ,利用 从 公共 通讯 
录 区 域 获得 的 通信 程序 来 显示 绝密 数据 ,该 程序 所 在 进程 的 完整 性 级 别 是 较 低 的 但 却 有 
较 高 的 秘密 性 级 别 ,使 用 该 程序 可 能 输出 错误 的 结果 ,但 是 该 程序 不 会 违反 机 密 性 要 求 。 
Biba 模型 的 优势 在 于 其 简单 性 以 及 和 BLP 模型 相 结合 的 可 能 性 。 对 于 前 者 由 于 
Biba 的 严格 完整 性 策略 是 BLP 机 密 性 策略 的 对 偶 , 所 以 它 的 实现 是 直观 的 和 易于 理解 
的 。 而 后 者 则 是 基于 Biba 模型 和 BLP 模型 的 相似 性 ,认为 Biba 模型 可 以 比较 容易 地 与 
BLP 模型 相 结合 用 以 产生 集 机 密 性 和 完整 性 于 一 体 的 一 体 化 安全 模型 , Lipnerc 声称 已 
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在 格 模型 中 实现 了 机 密 格 和 完整 格 的 结合 。 

Biba 模型 的 不 足 之 处 主要 在 于 以 下 几 点 : 

首先 ,是 完整 标签 确定 的 困难 性 。 由 于 BLP 机 密 性 策略 可 以 与 政府 分 级 机 制 完美 结 
合 , 所 以 很 容易 确定 机 密 性 标签 的 分 级 和 范畴 ,但 是 对 于 完整 性 的 分 级 和 分 类 一 直 没 有 相 
应 的 标准 予以 支持 。 

其 次 ,由 于 Biba 模型 最 主要 的 完整 性 目的 是 用 以 保护 数据 免 受 非 授 权 用 户 的 恶意 修 
改 , 同 时 其 认为 内 部 完整 性 威胁 应 该 通过 程序 验证 来 解决 ,但 在 该 模型 中 并 没有 包括 这 个 
要 求 ,因此 Biba 模型 在 有 效 保 护 数据 一 致 性 方面 是 不 充分 的 。 

最 后 ,对 于 Biba 模型 和 BLP 模型 的 结合 ,Gasser 认为 虽然 这 种 实现 机 密 性 和 完整 性 
的 方式 在 原理 上 是 简单 的 ,但 是 由 于 许多 应 用 的 内 在 复杂 性 ,使 得 人 们 不 得 不 通过 设置 更 
多 的 范畴 来 满足 这 些 复杂 应 用 在 机 密 性 和 完整 性 方面 的 需求 ,这 些 不 同性 质 的 范畴 在 同 
时 满足 安全 性 和 完整 性 目标 方面 是 难以 配合 使 用 的 ,特别 当 保密 性 和 完整 性 都 受到 充分 
的 重视 后 ,就 很 容易 出 现 进程 不 能 存 取 任何 数据 的 局 面 。 另 一 方面 ,Fred Cohen 已 经 证 
明 即 使 一 个 已 经 实现 了 BLP 模型 和 Biba 模型 的 系统 也 是 不 能 抵御 病毒 攻击 的 。 

由 于 上 述 几 方面 的 不 足 ,使 得 Biba 模型 仅 在 Multics 和 VAX 等 少数 几 个 系统 中 实 
现 。 因 此 无 论 是 依据 Biba 模型 来 有 效 实现 系统 完整 性 存 取 控制 ,或 者 把 完整 性 和 机 密 性 
相 结 合 方面 ,Biba 模型 都 是 难以 满足 实际 系统 真正 的 需求 。 


452 QakWilson 完整 性 模型 


在 商务 环境 中 ,1987 年 David Clark 和 David Wilson 所 提出 的 完整 性 模型 具有 里 程 
碑 的 意义 , 它 是 完整 意义 上 的 完整 性 目标 .策略 和 机 制 的 起 源 ,在 他 们 的 论文 中 ,为 了 体现 
用 户 完 整 性 ,他 们 提出 了 职责 隔离 目标 ;为 了 保证 数据 完整 性 ,他 们 提出 了 应 用 相关 的 完 
整 性 验证 进程 ;为 了 建立 过 程 完整 性 ,他 们 定义 了 对 于 转换 过 程 的 应 用 相关 验证 ;为 了 约 
东 用 户 、 进 程 和 数据 之 间 的 关联 ,他 们 使 用 了 一 个 三 元 组 结构 。 

Clark-Wilson 模型 的 核心 在 于 以 良 构 事务 (well-formal transaction) 为 基础 实现 在 商 
务 环境 中 所 需 的 完整 性 策略 。 良 构 事 务 的 概念 是 指 一 个 用 户 不 能 任意 操作 数据 ,只 能 用 
一 种 能 够 确保 数据 完整 性 的 受 控 方 式 来 操作 数据 。 为 了 确保 数据 项 (data items) 仅 仅 能 
被 良 构 事务 来 操作 ,首先 得 确认 一 个 数据 项 仅仅 能 被 一 组 特定 的 程序 来 操作 ,而且 这 些 程 
序 都 能 被 验证 是 经 过 适当 构造 ,并 且 被 正确 安装 和 修改 。 


1. 完整 性 机 制 和 强制 存 取 控 制 机 制 

在 C-W 模型 中 控制 数据 完整 性 的 主要 方法 有 两 个 : 

(1) 良 构 事务 (the well-formal transaction) ; 

(2) 雇员 之 间 的 任务 分 隔 。 

良 构 事务 的 概念 是 指 一 个 用 户 不 能 任意 操作 数据 ,只 能 用 一 种 能 够 确保 数据 完整 性 
的 受 限 方式 来 操作 数据 。 为 了 确保 数据 项 (data items) 仅 仅 只 能 被 良 构 事 务 来 操作 ,首先 
确认 一 个 数据 条 目 仅 仅 只 能 被 一 组 特定 的 程序 来 操作 ,而 且 这 些 程序 都 能 被 验证 是 经 过 
适当 构造 ,并 且 被 正确 安装 和 修改 的 。 
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完整 性 机 制 和 强制 存 取 控制 的 差别 : 

(1) 在 完整 性 控制 中 , 没 必要 给 每 一 个 数据 项 都 关联 一 个 特定 的 完整 性 安全 级 ,而 仅 
仅 是 一 个 许可 执行 它 的 程序 集 。 

(2) 一 个 用 户 并 没有 给 授权 去 直接 读 或 写 确定 的 数据 项 ,而 是 通过 执行 程序 来 影响 

这 些 数据 。 

这 种 机 制 上 的 差别 是 根本 性 的 ,在 橘 皮 书 所 描述 的 控制 中 ,一 个 用 户 是 被 其 所 能 读 写 
什么 样 的 数据 项 来 限定 的 ,如 果 他 被 授权 写 一 个 特定 的 数据 项 , 则 他 可 以 用 任何 他 所 选择 
的 方式 来 执行 这 个 写 操作 。 但 在 商业 完整 性 控制 中 ,用 户 对 数据 项 的 影响 是 隐 式 地 通过 
良 构 事务 来 实现 的 ,用 户 读 写 数据 的 方式 是 隐 含 在 这 些 程序 的 动作 中 。 

之 所 以 军事 安全 并 不 常用 于 商业 系统 的 原因 在 于 商业 系统 并 不 把 机 密 性 安全 作为 核 
心 功能 而 去 设计 为 系统 的 基本 特性 。 但 在 商务 系统 中 也 存在 的 强制 存 取 控 制 要 求 , 主要 
体现 在 : 系统 用 户 不 能 够 修改 被 允许 操作 一 个 特定 数据 上 的 程序 列表 ,或 者 修改 执行 一 
个 程序 的 用 户 列 表 。 在 商用 完整 性 环境 中 ,应 用 的 拥有 者 和 由 数据 处 理 组 织 所 实现 的 通 
用 控制 机 制 来 负责 确保 所 有 的 程序 都 是 良 构 事务 。 但 在 军用 环境 中 , 则 有 一 个 独立 的 职 
员 来 负责 授予 用 户 执行 某 个 程序 的 权限 ,系统 主要 还 要 确保 用 户 无 法 积累 这 些 权 限 。 

就 强制 控制 而 言 , 军 用 系统 和 商用 系统 所 采用 的 机 制 是 很 不 相同 的 。 军 用 强制 控制 
主要 用 以 实施 分 级 的 正确 设置 ,而 商用 强制 控制 实施 则 用 以 实现 良 构 事务 和 任务 隔离 模 
型 的 规则 。 当 构造 一 个 计算 机 系统 去 支持 这 些 机 制 时 ,所 采用 的 工具 显然 是 十 分 不 同 的 。 


2 QakWlson 完整 性 模型 
模型 中 CDIs、UDIs、IVPs 和 TPs 分 别 代表 受 控 数 据 项 、 非 受 控 数据 项 完整 半生 
过 程 和 变换 过 程 。Clark-Wilson 模型 中 的 完整 性 保证 是 一 个 两 段 式 过 程 : 由 安全 官 
基站 二 考 相 关于“ 丰 过 二 人 革 沁 交 未 作 状 才 大 玉 关 志 因 下 进程 ,各 二 二 尖 相 汉 放 
的 实施 过 程 。 
这 里 IVP 的 目标 是 确认 IVP 被 执行 之 时 在 系统 中 的 所 有 CDIs 都 与 完整 性 规范 相符 
合 ,TP ee 的 目的 在 于 把 CDIs 的 集合 从 一 个 合法 状态 
改变 到 另 一 个 合法 状态 。 
和 CDIs 的 完整 性 ,系统 必须 确保 只 有 TP 可 以 处 理 CDIs, 尽 管 系统 可 以 确保 
只 有 TPs 可 以 处 理 CDIs, 但 它 不 能 够 保证 TP 执行 了 一 个 良 构 变 换 的 功能 ,所 以 一 个 TP 
(或 IVP) 的 有 效 性 必须 使 用 与 其 相关 的 特定 完整 性 策略 的 认证 来 确定 。 
Clark-Wilson 模型 可 申述 如 下 。 
C1l: (Certification) 所 有 IVPs 必须 适当 地 确保 在 IVPs 运行 时 刻 所 有 的 CDIs 处 于 
一 个 合法 状态 。 
C2: 所 有 的 TPs 必须 被 认证 为 合法 的 ,也 就 是 说 ,如 果 它 们 从 一 个 合法 的 初始 状态 
始 ,那么 它们 必须 把 一 个 CDI 带 到 一 个 合法 的 最 终 状态 。 对 每 一 个 TP 和 其 所 操作 的 
CDIs 集合 ,安全 官员 必须 表明 一 个 “关系 ”, 其 用 以 定义 哪个 执行 。 这 个 关系 的 形式 为 : 
(TP;, CDIa, CDIb, CDIc,*…) 
对 于 已 经 被 认证 的 TP, 这 里 CDIs 列表 定义 了 一 个 参数 的 特定 集合 
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E1: (Enforcement) 系 统 必 须 维 持 在 C2 中 的 关系 列表 ,并 且 确 保 对 任何 CDI 的 唯一 

操作 都 是 由 TP 产生 的 ,这 里 TP 作用 在 CDI 是 由 一 些 关 系 所 确定 的 。 
上 述 两 条 提供 了 确保 CDIs 内 在 一 致 性 的 基本 框架 ,外 部 一 致 性 和 任务 隔离 机 制 则 
日 下 列 两 条 规则 来 维持 。 
E2: 系统 必须 维持 一 个 下 列 形式 的 列表 
(UserID，TP;,，CDIa，CDIb，CDIc,…) 
其 关联 了 一 个 用 户 一 个 TP 和 代表 这 个 用 户 的 TP 可 以 引用 的 数据 客体 ,必须 确保 
仅仅 在 上 边 一 个 关系 中 定义 了 的 执行 才 可 以 被 执行 。 

C3: 在 E2 中 的 关系 列表 必须 是 被 认证 可 以 满足 任务 隔离 的 需求 。 

从 形式 来 讲 , 规 则 E2 中 所 表示 的 关系 比 规则 El 中 的 更 强 ,但 从 理论 上 来 看 ,保持 
El 和 E2 分 离 有 助 于 标明 这 有 两 个 基本 问题 应 该 被 解决 : 内 部 一 致 性 和 外 部 一 致 性 ; 事 
实 上 ,通过 在 关系 中 使 用 标识 符 ( 也 就 是 使 用 通配符 去 匹配 TPs 或 者 CDIs 的 类 型 ) ,两 种 
形式 的 同时 存在 使 得 可 以 用 短 列表 来 表示 复杂 的 关系 。 

E3: 系统 必须 认证 每 一 个 试图 去 执行 一 个 TP 的 用 户 的 身份 。 

规则 E3 与 商用 系统 和 军用 系统 都 相关 ,但 是 这 两 类 系统 使 用 用 户 身 份 去 完成 截然 
不 同 的 两 类 策略 ,在 橘 皮 书 所 描述 的 军用 环境 中 ,相关 安全 策略 基于 许可 分 级 和 分 类 。 而 
在 商用 系统 中 ,策略 则 是 基于 两 个 或 两 个 以 上 用 户 之 间 的 责任 隔离 。 

在 一 个 TP 的 有 效 性 上 可 以 有 其 他 约束 ,在 每 一 种 情况 下 这 个 约束 可 以 被 表示 为 一 
个 认证 规则 和 实施 规则 。 

C4: 所 有 的 TPs 必须 被 证 明 , 向 一 个 只 可 追加 (append-only)CDI 写 入 所 有 的 ,允许 
一 个 操作 被 重 构 所 必需 的 种 类 信息 。 

并 非 所 有 数据 项 都 被 完整 性 约束 模型 所 覆盖 ,多 数 不 能 被 完整 性 策略 所 覆盖 的 系统 
数据 ,一 般 是 允许 被 任意 处 理 的 ,主体 仅仅 需要 自主 控制 。 为 了 处 理 这 类 数据 ,指定 一 定 
的 TPs 可 以 把 UDIs 作为 输入 值 来 处 理 是 必需 的 。 

C5: 对 任何 UDI 的 可 能 值 ,任何 把 一 个 UDI 作为 输入 值 的 TP 必须 被 认证 为 仅 进行 
有 效 的 变换 ,或 者 没有 变换 。 这 个 变换 应 该 把 输入 从 一 个 UDI 转 到 一 个 CDI, 或 者 UDI 
被 弹 回 。 典 型 地 来 讲 , 这 个 TP 就 是 一 个 编辑 程序 。 

为 了 使 模型 生效 ,就 不 能 使 各 种 认证 规则 失效 。 

E4: 只 有 被 允许 去 认证 实体 的 代理 可 以 更 改 一 个 实体 和 其 他 实体 间 的 关联 列表 : 特 
别 是 这 个 实体 和 一 个 TP 的 关联 。 一 个 可 以 认证 一 个 实体 的 代理 是 不 可 以 具有 任何 有 关 
那个 实体 的 执行 权限 的 。 

这 条 规则 使 得 这 种 完整 性 实现 机 制 比 自主 控制 更 具有 强制 性 。 为 了 使 这 种 结构 工作 
如 期 ,改变 授权 列表 的 能 力 必 须 和 认证 能 力 相 伴 而 生 , 且 没有 其 他 诸如 执行 一 个 TP 的 能 
力 。 这 种 结合 是 确保 当 系 统 在 运行 时 认证 规则 控制 真正 所 发 生 的 。 

这 九条 规则 在 一 起 就 构成 了 系统 完整 性 策略 模型 ,这 些 策 略 是 如 何 控制 系统 操作 的 ， 
如 图 4-3 所 示 。 图 4-4 表明 一 个 TP 是 把 一 些 CDIs 作为 输入 并 且 产 生 一 些 CDIs 的 新 版 
本 作为 输出 。 这 两 个 CDIs 集合 代表 了 系统 的 两 个 相 邻 的 有 效 状 态 。 图 4-4 还 表示 为 了 
验证 CDIs 的 有 效 性 ,一 个 IVP 还 得 读 取 CDIs 集合 。 和 系统 的 每 个 部 分 所 关联 的 是 用 于 
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控制 系统 的 相应 部 分 从 而 保证 完整 性 的 规则 。 


用 户 


E3: 用 户 被 认证 


Cl:TVP 验 证 CDI 状 态 
C5:TPs 验 证 UDI 


C3: 适 当 的 职责 隔 高 


E4: 授 权 列表 
仅 可 以 由 安全 
官员 来 改变 


句 log 中 写 


处 于 某 些 
状态 的 系统 El:CDIs 仅 可 以 由 授权 TP 改 变 


图 4-3 Clark-Wilson 模型 完整 性 规则 简 示 


所 有 对 象 的 集合 . O 


利益 冲突 类 


公司 数据 集 


单个 客体 (利益 冲突 类 4 
的 公司 数据 集 g 的 客体 ) 


图 4-4 ”BN 模型 数据 组 织 


3. Qak-Wilson 完整 性 安全 模型 分 析 

(1) Clark-Wilson 模型 有 效 地 表达 了 完整 性 的 三 个 目标 , 即 防止 非 授 权 用 户 的 修改 、 
防止 授权 用 户 权 的 不 当 修 改 .维护 数据 的 内 部 和 外 部 一 致 性 。 

。 通过 周期 性 的 交错 检查 (cross-checking),IVP 验证 了 数据 的 内 部 和 外 部 的 一 


致 性 。 
。 通过 将 一 个 有 效 状 态 转 变 为 另 一 个 有 效 状 态 ,变换 过 程 (TPs) 维 护 了 数据 的 内 、 
外 部 二 致 竹 ; 


。 按 E2 要 求 的 访问 三 元 组 用 于 实现 职责 隔离 概念 , 且 防 止 了 非 授 权 用 户 的 修改 。 
同时 职责 隔离 原理 也 防止 了 授权 用 户 进行 不 当 的 修改 ,从 而 支持 了 外 部 数据 一 
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致 性 。 

Clark-Wilson 完整 性 安全 模型 的 另 一 个 内 在 的 优势 在 于 它 来 源 于 和 久 经 考验 的 商业 方 
法 ,这 种 方法 已 在 纸张 世界 中 使 用 了 很 多 年 。 

(2) 就 Biba 模型 和 Clark-Wilson 模型 之 间 的 关系 而 言 ,虽然 Lee 声称 已 证 明了 后 者 
可 以 使 用 Biba 和 Lipner 基于 格 的 完整 性 分 类 来 实现 ,但 是 这 种 使 用 完整 性 分 类 的 手段 
只 能 模拟 防止 Clark- Wilson 模型 中 对 数据 项 的 非法 修改 的 控制 (也 是 Biba 模型 所 注重 
的 ) ,而 对 于 Clark-Wilson 模型 同时 所 强调 的 用 户 完整 性 和 过 程 完 整 控制 目标 是 很 难 达 
到 的 。 

(3) 对 于 Clark-Wilson 模型 局 限 性 的 认识 主要 集中 在 以 下 几 个 方面 : 

首先 ,Mayfield 等 认为 ,虽然 Clark-Wilson 模型 有 效 强 调 了 计算 机 系统 完整 性 的 所 
有 三 个 目标 ,但 如 同 Karger 所 指出 的 在 实际 系统 中 直接 实现 和 维持 元 组 (User，TP， 
CDIa，CDIb， CDIc,…) 将 会 降低 设计 和 实现 的 灵活 性 ,甚至 不 得 不 面临 严重 的 以 至 于 是 
不 可 接受 的 性 能 问题 。 

其 次 ,转换 过 程 TP 的 出 现 使 得 Clark-Wilson 模型 较 之 Biba 更 适合 商务 环境 中 的 事 
务 处 理 在 安全 性 方面 的 要 求 ,但 是 为 了 在 该 模型 中 能 进一步 描述 TPs 间 的 顺序 执行 关 
系 , 就 不 得 不 把 这 种 TPs 间 的 高 层 控制 策略 隐藏 在 CDIs 和 TPs 的 编程 逻辑 中 ,这 不 利于 
把 对 数据 的 控制 策略 从 数据 项 中 分 离 ,从 而 更 加 方便 地 对 数据 施加 更 多 所 必需 的 控制 。 

最 后 ,Mclean 认为 作为 最 有 名 的 完整 性 模型 ,Clark-Wilson 模型 的 缺点 之 一 在 于 远 
没有 被 形式 化 ,而 且 也 不 清楚 在 通用 配置 的 情况 下 如 何 去 形 式 化 它 。 同 时 他 提出 克服 这 
个 困难 的 一 种 方式 ,就 是 从 通用 模型 走向 应 用 相关 的 专用 模型 。 第 一 个 用 这 种 方式 达到 
目的 的 就 是 MMS 军用 消息 系统 模型 ,此 后 应 用 相关 的 Clark-Wilson 模型 的 变种 已 在 多 
个 领域 中 出 现 , 做 得 最 好 的 应 当 首 推 SeaView 数据 库 安 全 模型 。 

产生 上 面 问题 的 根源 在 于 : 

首先 ,Clark-Wilson 模型 中 的 存 取 元 组 实际 上 是 隐 含 了 把 用 户 、 转 换 过 程 和 存 取 数 据 
客体 相 联 系 在 一 起 的 逻辑 ,由 于 这 种 联系 逻辑 在 模型 中 是 隐 式 的 ,所 以 使 得 模型 无 法 显 式 
地 表达 这 种 联系 逻辑 ,从 而 使 得 该 模型 很 难 被 形式 化 以 满足 TCSEC 对 高 安全 等 级 信息 
系统 的 要 求 。 

其 次 ,由 于 Clark-Wilson 模型 中 的 有 关 转 移 过 程 (TP) 概 念 以 及 具体 应 用 和 TPs 之 
间 关 系 的 模糊 性 ,使 得 对 TPs 的 执行 顺序 控制 信息 不 得 不 隐藏 在 CDIs 和 TPs 的 编程 罗 
辑 中 ,而 且 也 使 得 对 TPs 本 身 和 依赖 于 TP 的 其 他 部 分 (例如 审计 部 分 ) 的 行为 无 法 被 精 
确 地 描述 。 


4.6 多 策略 安全 模型 


这 里 主要 介绍 机 密 性 和 完整 性 相 结 合 的 代表 性 商业 安全 模型 一 一 中 国 墙 安 全 模型 、 
可 用 于 描述 多 种 安全 需求 的 中 立 安 全 模型 一 一 RBAC 安全 模型 和 DTE 安全 模型 。 
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461 中 国 墙 (Qhinese Wal) 模型 


1 中 国 墙 安全 模型 BN 模型 概述 

在 过 去 的 很 长 一 段 时 间 , 美 国 和 英国 都 将 军事 安全 策略 作为 计算 机 安全 研究 的 主导 
思想 。 在 1987 年 ,Clark 和 Wilson 首次 提出 商业 信息 安全 应 该 像 军事 安全 那样 得 到 足够 
的 重视 。 现 在 ,有 很 多 定义 完善 的 商业 安全 策略 ,也 包括 Clark 和 Wilson 所 提出 的 商业 
安全 模型 。1988 年 ,Brewer 和 Nash 根据 现实 的 商业 策略 提出 了 中 国 墙 (Chinese Wall) 
安全 模型 (简称 BN 模型 ), 他 们 试图 解决 的 问题 是 : 为 了 保护 相互 竞争 的 客户 ,咨询 公司 
需要 在 它 的 代理 间 建 立 密 不 可 透 的 “ 墙 ”, 这 个 “ 墙 ” 就 称 为 中 国 墙 ,例如 分 析 员 必须 对 他 所 
服务 的 公司 客户 的 信息 进行 保密 ,这 就 意味 着 他 不 能 对 与 他 的 客户 有 竞争 关系 的 公司 提 
出 建议 。 中 国 墙 安全 策略 在 商业 安全 领域 中 处 以 很 高 的 地 位 ,就 如 同 BLP 模型 在 军事 领 
域 中 的 地 位 。 

与 BLP 模型 不 同 的 是 ,中 国 墙 安全 策略 是 根据 主体 的 访问 历史 来 判断 数据 是 否 可 以 
被 访问 ,而 不 是 根据 数据 的 属性 作为 约束 条 件 。 中 国 墙 安全 策略 的 本 质 是 将 全 体 数据 划 
分 成 “利益 冲突 类 ”, 根 据 强制 性 约束 ,主体 至 多 访问 每 个 “利益 冲突 类 ”中 的 一 个 数据 集 。 

在 英美 两 国 , 证 券 公司 的 中 国 墙 安全 策略 是 有 法 律 效力 的 ,因此 ,不 管 是 以 手工 方式 
还 是 自动 化 的 方式 来 执行 , 它 都 代表 了 一 种 强制 安全 策略 。 此 外 ,因为 该 策略 提供 了 很 好 
的 防御 措施 来 防止 某 些 不 恰当 的 访问 ,所 以 该 策略 的 正确 实施 对 英国 金融 机 构 是 很 重 
要 的 。 


2 BN 模型 的 数据 组 织 

BN 模型 将 所 有 的 公司 数据 分 成 三 层 ,如 图 4-4 所 示 。 

(1) 最 低层 : 客体 , 它 是 单个 公司 信息 项 ,每 个 信息 项 都 是 关于 一 个 公司 的 信息 。 

(2) 中 间 层 : 公司 数据 集 , 它 是 关于 一 个 公司 的 所 有 客体 的 集合 。 

(3) 最 高 层 : 利益 冲突 类 , 它 是 所 有 有 利益 冲突 关系 的 公司 数据 集 的 集合 。 

在 这 里 ,引入 BLP 模型 中 主体 的 概念 来 代表 用 户 。 令 S 为 主体 的 集合 ,O 为 客体 集 
合 (oEO) ,L 为 安全 标签 (z，y) ,每 个 标签 都 与 一 个 客体 相对 应 。 函 数 XCo) 和 Y(o) 分 别 
确定 了 给 定 客体 o 的 标签 zx 和 y。 将 xz 作为 利益 冲突 类 ,y 作为 公司 数据 集 ,z 和 分 
别 代表 (0;) 和 YY (0;)。 所 以 对 于 每 个 客体 0; ,zx; 为 它 的 利益 冲突 类 ,yw 为 它 的 公司 数 
据 集 。 

定理 4-6.1 三 y% 字 三 zz 即 如 果 两 个 不 同 的 客体 o 和 os 属于 同一 个 公司 数据 
集 ,那么 它们 就 属于 同一 个 利益 冲突 类 。 

推论 4-6.1 zi 隆 x2 过 yi 去 y2， 即 如 果 任 意 两 个 客体 o 和 o 属于 不 同 的 利益 冲突 
类 ,那么 它们 就 不 在 同一 公司 数据 集 。 

由 定理 4-6. 1 和 推论 4-6.1 可 以 得 出 : 利益 冲突 类 是 等 价 类 , 即 一 个 公司 的 信息 项 只 
属于 一 个 公司 数据 集 ,一 个 公司 数据 集 只 属于 一 个 利益 冲突 类 。 


3. BN 模型 的 访问 控制 策略 
1) 简单 安全 性 
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简单 安全 性 读 访问 规则 是 允许 一 个 用 户 访 问 与 他 曾经 访问 过 的 公司 没有 利益 冲突 的 
公司 信息 。 简 单 安全 性 直接 反映 了 中 国 墙 安全 策略 的 访问 控制 的 机 制 , 即 初始 时 ,一 个 主 
体 可 以 自由 访问 任意 的 公司 信息 ,不 存在 访问 的 强制 性 限制 。 一 旦 初始 访问 确定 后 , 则 他 
不 能 再 访问 该 公司 数据 集 所 属 的 利益 冲突 类 中 的 其 他 公司 数据 集 , 就 好 像 在 访问 过 的 公 
司 数据 集 周 围 建立 了 一 道 “ 中 国 墙 ?。 此 外 ,该 主体 仍然 可 以 访问 其 他 利益 冲突 类 下 的 公 
司 数据 集 ,该 访问 一 旦 确定 ,这 个 新 的 数据 集 就 被 包含 在 “中 国 墙 ?> 之 中 。 由 此 可 以 看 出 ， 
中 国 墙 策略 是 自由 选择 和 强制 控制 的 微妙 组 合 。 

举 个 例子 来 阐明 简单 安全 性 。 假 设 有 三 个 公司 数据 集 分 别 来 自 A 银行 .A 石油 公司 
和 B 石 油 公司 ,一 个 新 的 用 户 在 第 一 次 访问 时 可 以 自由 地 选择 他 想 要 访问 的 公司 数据 
集 。 假 设 这 个 用 户 第 一 次 选择 访问 A 银行 , 则 他 拥有 了 这 个 公司 数据 集 的 信息 。 然 后 ， 
该 用 户 又 请 求 访问 A 石油 公司 的 数据 集 , 由 于 A 石油 公司 和 A 银行 在 不 同 的 利益 冲突 
类 中 ,所 以 这 个 请 求 被 允许 。 该 用 户 再 次 请 求 访问 B 石油 公司 ,由 于 也 石油 公司 与 A 石 
油 公 司 在 同一 个 利益 冲突 类 中 ,那么 这 个 请 求 将 被 拒绝 。 

下 面 可 以 用 和 矩阵 来 记录 主体 对 客体 的 访问 。 

定义 4-6.1 令 N 为 布尔 矩阵 ,N 的 每 一 行 对 应 一 个 主体 ,N 的 每 一 列 对 应 系统 中 的 
一 个 客体 。 如 果 主 体 w(s%ES) 已 经 访问 过 客体 ou(ovEO) ,那么 矩阵 元 素 N(u,v) 的 值 为 
True, 和 否则 为 False。 令 R(wu,v) 为 主体 5 对 客体 o。 的 访问 请 求 。 一 旦 主体 ， 对 客体 o。 
的 访问 请 求 R(u,v) 被 允许 ,那么 将 N(u,v) 置 为 True。 

定理 4-6.2 主体 % 对 客体 o。 的 访问 请 求 被 允许 当 且 仅 当 对 所 有 NN (u,v) 二 True 的 
0,;，, 有 (根据 定义 4-6.1,s, 访问 过 o.)(xz 和 天 xz) || (yw 一)。 

但 是 仅 有 定理 4-6. 2 是 不 够 的 ,还 必须 对 矩阵 N 进行 初始 化 ,此 外 ,还 需要 定义 在 初 
始 状态 下 ,主体 的 初始 访问 请 求 这 样 的 一 个 概念 。 因 此 引出 了 定理 4-6.3 和 定理 4-6.4。 

定理 4-6.3 N(u,i) 二 False, 代 表 初 始 时 的 安全 状态 , 即 主体 ;, 没有 访问 过 任何 的 
客体 。 

定理 4-6.4 ”如果 对 于 所 有 的 客体 ,N(Cz,i=False, 那 么 主体 w% 对 任何 客体 o 的 访 
问 请 求 尺 (xi 都 将 被 授予 。 也 就 是 说 ,主体 % 在 过 去 没有 访问 过 任何 的 客体 ,所 以 在 % 
在 做 初始 访问 时 可 以 自由 选择 。 

定理 4-6. 1 至 定理 4-6.4 是 将 中 国 墙 安全 策略 公式 化 ,并 且 可 以 证 明 与 该 策略 相关 
的 一 系列 理论 。 

定律 4-6.1 一 旦 一 个 主体 访问 过 一 个 客体 , 那 其 余 可 以 被 该 主体 访问 的 客体 必须 
满足 : 与 主体 访问 过 的 客体 在 同一 个 公司 数据 集 内 ,或 在 不 同 的 利益 冲突 类 中 。 

定律 4-6.2 一 个 主体 最 多 只 能 访问 每 个 利益 冲突 类 中 的 一 个 公司 数据 集 。 

2) 清洁 信息 

在 中 国 墙 安全 模型 的 应 用 中 ,公司 的 数据 集 通 常会 存在 大 量 的 敏感 信息 , 且 有 利益 冲 
突 的 部 分 通常 是 商业 信息 。 然 而 ,能 够 与 其 他 同类 公司 比较 这 部 分 的 信息 又 被 认为 是 在 
公司 经 营 过 程 中 非常 重要 的 环节 ,所 谓 “ 知 己 知 彼 , 百 战 不 殖 ”。 但 是 ,问题 就 出 现 了 : 如 
果 使 用 简单 安全 规则 ,那么 对 某 些 公司 的 访问 请 求 将 会 由 于 过 去 的 访问 记录 被 拒绝 。 例 
如 ,有 三 个 公司 数据 集 : A 银行 .A 石油 公司 和 了 B 石油 公司 ,那么 一 个 主体 永远 不 能 比较 
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A 石油 公司 和 B 石油 公司 的 公司 信息 ;如果 一 个 主体 曾经 访问 过 A 银行 和 也 石油 公司 ， 
那么 他 也 不 能 比较 A 银行 和 A 石油 公司 的 公司 数据 。 若 是 对 一 些 敏感 的 信息 进行 清洁 ， 
则 会 避免 这 些 阻止 。 

对 敏感 信息 的 清洁 表现 为 对 公司 信息 进行 伪装 ,尤其 是 那些 可 能 识别 公司 身份 的 信 
息 。 有 效 的 清洁 是 指 即 使 有 充分 的 信息 ,也 无 法 逆向 推导 出 这 些 信息 的 起 源 。 可 以 认为 ， 
所 有 的 公司 都 拥有 属于 自己 公司 的 特定 敏感 信息 ,去 除 这 些 敏感 信息 ,保留 剩余 信息 作为 
所 有 公司 的 清洁 信息 , 记 为 y。。 

定义 4-6.2 对 于 任意 的 客体 o,(y, 是 o. 所 在 的 公司 数据 集 )， 

(1) 车 = ，, 则 o 是 清洁 信息 ; 

(2) 若 y: 隆 y。, 则 o, 包含 敏感 信息 。 

由 于 清洁 信息 不 存在 公司 的 敏感 信息 ,所 以 可 以 不 用 限制 对 清洁 信息 的 读 访问 请 求 。 

3) * 特性 

简单 安全 性 不 能 保证 有 利益 冲突 的 公司 之 间 没 有 信息 流动 。 例 如 ,有 两 个 主体 s, 和 
su， 三 个 公司 数据 集 : A 银行 .A 石油 公司 和 B 石 油 公司 。s 可 以 访问 A 石油 公司 和 A 
银行 ,s, 可 以 访问 B 石 油 公 司 和 A 银行 。 如 果 主 体 s, 读 取 了 A 石油 公司 的 信息 ,然后 写 
到 A 银行 ,那么 s, 通过 读 取 A 银行 的 信息 后 也 就 知道 了 A 石油 公司 的 信息 。 由 于 A 石 
油 公 司 和 B 石 油 公 司 有 利益 冲突 ,所 以 根据 简单 安全 性 的 规定 ,这 样 的 访问 是 不 被 允许 
的 。* 特性 即 写 访问 规则 可 以 避免 这 样 的 非法 访问 。 

定理 4-6.5 任何 主体 s, 对 客体 os 的 写 访问 请 求 被 允许 , 当 且 仅 当 N(u,0) 二 True， 
并 且 s, 没有 读 访 问 过 满足 以 下 条 件 的 0,: (yx 和 天 w)A(Cy 天 yw)。 

根据 定理 4-6.5 可 知 ,主体 ;ES 允许 写 访 问 客体 o。€O 必须 满足 : 

。 xs 按照 简单 安全 特性 可 以 读 o; 

。 没有 访问 过 o 所 属 的 公司 数据 集 或 清洁 数据 以 外 的 任何 公司 数据 集 信息 。 

定律 4-6. 3 非 清洁 的 信息 只 局 限 在 本 公司 数据 集 内 部 ,不 能 随意 流动 ;而 清洁 后 的 
信息 可 以 在 系统 中 自由 地 流动 。 


4 侵略 型 中 国 墙 安 全 模型 (TY.Lin 模 型 ) 

1989 年 ,T. Y. Lin 指出 BN 模型 所 基于 的 假设 是 不 正确 的 ,因为 BN 模型 所 假设 的 
利益 冲突 关系 (Conflict of InterestRelation,CIR) 是 等 价 关 系 , 最 高 层次 的 利益 冲突 类 为 
等 价 类 。 显 然 , 这 样 的 假设 是 不 符合 实际 的 。 例 如 ,A 公司 和 B 公司 有 利益 冲突 ,B 公司 
和 C 公 司 有 利益 冲突 类 ,根据 等 价 关 系 的 传递 性 可 知 ,A 公司 和 C 公司 一 定 有 利益 冲突 ， 
可 是 在 现实 的 商业 活动 中 ,这 种 关系 并 不 总 是 成 立 的 。 

中 国 墙 安 全 策略 一 开始 并 没有 在 商业 安全 领域 得 到 广泛 的 应 用 和 推广 。 主 要 是 因为 
没有 人 能 指明 CIR 是 如 何 构造 的 。 粗 糙 集 理论 的 创始 人 Pawlak 从 完全 不 同 的 角度 , 创 
新 了 冲突 分 析 的 方法 。T.Y. Lin 在 BN 模型 的 基础 之 上 ,结合 Pawlak 基于 粗糙 集 理 论 
的 冲突 分 析 的 方法 ,并 增加 了 不 确定 因素 ,提出 了 一 个 修正 性 模型 一 一 侵略 型 中 国 墙 安全 
模型 。 

1) Pawlak 的 冲突 分 析 的 基本 描述 
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20 世纪 80 年 代 中 期 ,粗糙 集 创 始 人 Pawlak 基于 粗糙 集 理 论 提 出 了 一 种 冲突 分 析 的 
方法 59 。 冲 突 分 析 的 目的 在 于 找 出 局 中 人 和 争端 问题 之 间 的 关系 ,并 探讨 如 何 才能 解决 
冲突 。 在 这 个 方法 中 ,首先 选取 冲突 的 问题 及 参与 冲突 的 实体 并 确定 他 们 在 冲突 中 的 立 
场 : 冲突 ,联盟 还 是 中 立 。 该 方法 利用 信息 系统 来 分 析 冲 突 。 

定义 4-6.3 信息 系统 : 信息 系统 为 二 元 组 S=(U,A),U 二 {ww ,us，… ,us) 为 非 空 有 
限 对 象 集 ,A 二 {a ,a:,… ,aa} 为 非 空 有限 属性 集 。 任 一 a€ A 定义 了 一 个 函数 a :UvV,， 
其 中 V 为 a 的 值 域 。 对 冲突 问题 来 说 ,集合 U 中 的 元 素 表示 局 中 人 ,集合 A 中 的 元 素 表 
示 争 端 问题 ,而 V。 二 {一 1,0,1) ,一 1.0 和 1 分别 代表 局 中 人 wu (u, EU) 对 争端 a(a€ A) 
持 反 对 、 中 立 和 赞成 的 态度 。 该 信息 系统 S=(U,A) 被 称 为 冲突 系统 。 在 Pawlak 冲突 模 
型 中 ,定义 任意 局 中 人 uw, 和 xy 关于 争端 a 的 三 个 基本 二 元 关系 如 下 : 同盟 关系 、 中 立 关 
系 和 冲突 关系 。 下 面 定 义 如 下 函数 来 说 明 这 三 种 关系 : 

ls 如 果 alwu)alu,) = 二 1 或 u, 二， 

BD, (usuy) = 10， 如 果 alwu)alu,) 二 1 且 w 关 sy 

一 1， 如 果 a(u)al(u,) = 一 1 
如 果 @B, (wi, wy) 三 1, 则 局 中 人 wu 和 ww, 在 争端 as 上 具有 相同 的 观点 ,而 xx 和 zy 是 同盟 
关系 ; 若 Bs (us ,uy) 二 0, 则 uw 和 xy 中 至 少 有 一 个 对 争端 a 持 中 立 态度 ,因而 具有 中 立 关 
系 ;@.(C yu) 一 一 1 则 ww 和 wy 中 对 争端 a 持 相反 的 观点 ,所 以 它们 具有 冲突 关系 。 即 
当 且 仅 当 B,Cu, uy) 二 1, 有 Ri (ws，u,); 当 且 仅 当 Bus, uy) 二 1, 有 RI(u;, u,); 当 且 
仅 当 Bus, wu,) 二 1, 有 Ri (uz，u,); 分 别 定义 为 同盟 关系 、 中 立 关 系 和 冲突 关系 。 

同盟 关系 满足 如 下 性 质 : 

@ 自 反 性 : Ri (wj, uz)。 

@ 对 称 性 : Ri (xz ，zy) 人 后 Rz (xy，xz) 。 

@ 传递 性 : Ri (wuz, uy) 人 Rz (xuy，xe) 一 Rz+ (ur, us) 

冲突 关系 有 如 下 人 性质: 

中 反 自 反 性 ; 

@ 对 称 性 : Ri (us, uy) 舍 Ri (uy, ur); 

@ Ra (uz suy) N Ri (uy sus)RE (us us); 

@ R7 (ues,) NR+ (Cu, se) SR (us su.) 

性 质 @ 可 以 解释 成 "我 的 敌人 的 敌人 是 我 的 朋友 ”, 性 质 四 可 以 解释 成 “我 的 朋友 的 敌 
人 是 我 的 敌人 ”。 

中 立 关系 的 性 质 如 下 : 

@ 反 自 反 性 ; 

@ 对 称 性 : R? (u,， uy) OR (uy,, us)。 

定义 4-6.4 ”冲突 系统 中 的 争端 a 在 冲突 系统 中 的 冲突 程度 (简称 冲突 度 ) 。 

| ®, (uu ) | 


(Cw Gu (ava) 一 一 1) 


下 全] 


(4-1) 


con(a) 
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定义 4-6.5 冲突 系统 S 的 冲突 度 


外 con(ai) 
con(S) 一 之 [A 

定义 4-6.6 ”冲突 系统 中 局 中 人 之 间 的 冲突 度 : 
DD, xr,y) 


a€EA 


区 司 


c(Czyy) 一 


(4-2) 


(4-3) 


下 面 举 一 个 中 东 冲 突 的 例子 来 阐明 Pawlak 的 冲突 分 析 的 基本 原理 。 在 此 使 用 信息 


表 来 分 析 冲 突 。 
假设 有 六 个 局 中 人 : 
1 一 以 色 列 ; 
2 一 埃及 ; 
3 一 巴勒斯坦 ; 
4 一 约旦 ，; 
5 一 叙利亚 ; 
6 一 沙特 。 
五 个 冲突 问题 : 
a 一 约旦 河西 岸 和 加 沙 地 带 的 巴勒斯坦 国家 自治 ; 
b 一 约旦 河 建立 以 色 列 军事 基地 ; 
c 一 以 色 列 保留 东 耶 路 撒 冷 ; 
d 一 戈 兰 高 地 建立 以 色 列 军事 基地 ; 
e 一 阿拉 伯 国 家 对 选择 留 在 其 境内 的 巴勒斯坦 人 授予 公民 身份 。 


每 个 局 中 人 与 各 个 冲突 问题 之 间 的 关系 可 以 用 表 的 形式 来 说 明 , 如 表 4-2 所 示 。 


表 4-2 局 中 人 与 冲突 问题 的 关系 


U a b c e 
1 一 非 在 二 证 
9 一 0 一 一 
3 十 一 = 二 0 
4 0 二 一 0 一 
5 法 
6 0 十 = 0 十 


符号 十 ,一 .0 表示 局 中 人 对 这 些 问 题 持 有 的 态度 分 别 为 支持 、 反 对、 中 立 。 每 一 行 都 
代表 一 个 局 中 人 对 这 六 个 有 争端 的 问题 的 态度 。 正 如 Pawlak 所 说 的 冲突 分 析 的 主要 目 


的 是 找 出 参与 纠纷 的 局 中 人 之 间 的 关系 ,并 探索 出 怎样 解决 这 些 冲 突 。 
2) 侵略 型 中 国 墙 安 全 模型 


侵略 型 中 国 墙 安全 模型 在 Pawlak 的 冲突 分 析 的 基础 上 引入 了 两 个 核心 概念 : 利益 
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冲突 关系 (CIR) 和 同盟 关系 (IAR)。 利 益 冲 突 关 系 在 数学 上 是 一 个 二 元 关系 ,可 以 记 作 
CIR={(CuoSUXU。 一 般 来 说 ,利益 冲突 关系 不 是 等 价 关 系 , 而 是 一 个 加 权 二 元 关 
系 。 在 现实 世界 中 ,完全 的 CIR 几乎 是 不 可 能 存在 的 ,每 一 个 二 元 关系 (u,v) 都 应 该 对 应 
一 个 权重 , 则 有 这 样 的 一 个 映射 : F:CIREUXU>[0,1]。F(u,v) 可 以 被 定义 为 : 

(1) 可 能 性 ,如 果 样 本 空间 存在 ; 

(2) 信任 度 , 如 果 可 能 的 环境 存在 ; 

(3) 仅仅 是 一 个 主观 估计 。 
在 数学 上 ,这 就 是 一 个 模糊 二 元 关系 。 

(1) 二 元 关系 和 最 近邻 域 。 

定义 4-6.7 利益 冲突 关系 的 形式 化 表示 : 

CIR-0 CIR 是 一 个 二 元 关系 ; 

CIR-1 CIR 具有 对 称 性 ; 

CIR-2 CIR 具有 反 自 反 性 ; 

CIR-3 CIR 具有 反 传 递 性 。 

很 明显 ,利益 冲突 关系 是 二 元 关系 ,并 且 满 足 CIR-1 和 CIR-2。 对 于 CIR-3 ,可 以 举 出 
如 下 的 例子 来 证 明 : 假设 0= {美国 ,英国 ,前 苏联 }, 令 CIR= “在 冷战 ?。 如 果 ”* 在 冷战 ” 
具有 传递 性 ,那么 可 以 得 到 以 下 两 个 叙述 : 美国 与 前 苏联 在 冷战 ,前 苏联 和 英国 在 冷战 。 
可 以 得 到 这 样 的 一 个 结论 : 美国 和 英国 在 冷战 。 这 显然 是 荒 雇 的。 所 以 说 CIR-3 成 立 。 
在 此 ,引出 CIR 的 “反义词 ”一 一 同盟 关系 ”( 记 为 IJAR)。IAR 是 等 价 关 系 。 从 直观 上 
讲 ,IAR 代表 朋友 ,而 CIR 代表 敌人 。 

定义 4-6.8 最 近邻 域 系统 : 点 p 的 最 近邻 域 系 统 是 与 该 点 邻近 的 元 素 的 集合 。 可 
以 表示 为 Np 二 {ul (u.p)€B)。 其 中 ,二 元 关系 BCEU XU 是 点 p 的 最 近邻 域 。 所 以 最 
近邻 域 亦 可 以 表示 为 B=={(u,p)|u€ Np)。 

(2) 数据 组 织 。 侵 略 型 中 国 墙 安全 模型 的 数据 组 织 在 最 高 层 上 与 BN 模型 不 同 。 

Q@ 最 底层 : 单个 的 公司 信息 项 。 

@ 中 间 层 : 公司 数据 集 , 是 与 某 个 公司 相关 的 所 有 客体 的 集合 。 

@ 最 高 层 : 利益 冲突 域 ,是 与 公司 X 有 利益 冲突 关系 的 公司 数据 集 的 集合 , 记 为 
CIN(X)={Y|(X,Y)ECIR}. 

(3) 访问 控制 策略 。 

令 5S 为 主体 集合 ;O 为 客体 集合 ,0; EO;Y(o;)( 简 记 为 y; ) 是 客体 w 的 公司 数据 集 。 
令 N 为 一 个 矩阵 ,元 素 N(i, 7) 相 当 于 SXO 的 集合 元 素 , 其 值 属于 M={ 一 1,0,1}。 主 
体 s; 对 客体 0; 的 访问 请 求 记 作 R (Gs;, 0;) ( 简 记 为 RGi, 站))。 

定理 4-6.6 ”中国 墙 安全 策略 模型 是 一 个 四 元 组 (S,O,N,R) ,满足 : 

CW-1 初始 时 ,对 所 有 的 i 和 j,N(i, 门 一 一 1。 

CW-2 如 果 N(i, 站 二 1, 则 RGi, 7)) 被 授予 。 

CW-3 如 果 N(i, 门 二 0, 则 RGi, 7 被 拒绝 。 

CW-4 如 果 N(i, 门 二 一 1, 则 R(i, 7 被 授予 ,并 且 抢 阵 N 的 第 i 行 也 要 做 相应 的 


改变 : 
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@ NG 7))=1; 

@ 如 果 NG, h) 二 一 1, 并 且 车 ww 与 y; 有 利益 冲突 关系 , 则 N(i,h) 二 0 (j 关 有 )。 

根据 BN 模型 ,假设 o。 为 清洁 数据 ,那么 ,o。 可 以 被 所 有 的 主体 访问 ,为 了 避免 间接 
违反 中 国 墙 安全 策略 , 则 提出 CW5 来 加 强 安全 策略 。 

CW-5 主体 s; 可 以 写 访问 客体 o; 当 且 仅 当 N (i,j) 取 0, 并 且 对 客体 o 满足 N (i,k) 
一 0,(R 天 JR 天 o) 。 

讨论 : 

@ 如 果 所 有 NC* ,* ) 都 不 等 于 一 1( 例 如 ,在 所 有 主体 已 经 访问 过 一 些 客体 后 ) , 那 
么 N(x* ,*) 就 等 同 通常 的 拒绝 优先 访问 矩阵 。 

@ 值得 注意 的 是 ,该 模型 如 果 授 权 Si 访问 O; 则 不 允许 系统 更 新 N (i,j)。 但 是 , 实 
际 上 ,我 们 可 以 清洁 S;( 如 果 很 长 一 段 时 间 过 后 ,S; 没有 再 访问 O ) 和 重新 初始 化 N (i， 
x ) 行 。 

CW-6 和 矩阵 N 中 唯一 可 以 改变 值 的 是 N(i, 门 == 一 1。 

定律 4-6.4 一 旦 主体 ;; 访问 过 客体 。 ,那么 其 余 可 以 被 ;; 访问 的 客体 必须 与 oj 属 
于 同一 个 公司 数据 集 或 与 o 在 不 同 的 利益 冲突 域 。 

3) 加 权 的 侵略 型 中 国 墙 安全 模型 

(1) 加 权利 益 冲突 关系 (WCIR) 和 加 权 邻 域 系统 C(WCIN) 。 

@ 加 权利 益 冲 突 关 系 是 一 个 映射 : WCIR:UXU->~[0,1]。 

@ p 的 最 近 加 权 邻 域 是 一 个 映射 : WCINp:U-~[0.1]。 

@ 加 权 邻 域 系统 : WCIN:p 一 WCINp。 

@ 加 权 二 元 关系 定义 最 近 加 权 邻 域 系统 。 

p 一 WCINP; WCINp(u)= WCIR(u,p) 
反之 
WCIR: UXU—>[0,1]; WCIR(u, p)= WCINp(u) 

(2) 加 权 模 型 。 该 模型 的 所 有 数据 基本 上 与 传统 模型 相同 ,只 是 将 利益 冲突 关系 和 
邻 域 改 成 加 权 的 形式 。 

定理 4-6.7 加 权 侵略 型 中 国 墙 安全 模型 满足 : 

CW-1 初始 时 ,对 所 有 的 i 和 j,N(i,j) 二 一 1。 

CW-2 如 果 N(i, 门 ==1, 则 R(i, 丫 被 授予 。 

CW-3 如 果 N(i, 丫 二 0, 则 RGi, 丫 被 拒绝 。 

CW-4 如 果 N(i, 站 二 ?1, 则 RR(i,7) 被 授予 ,并 且 同 时 要 改变 矩 阵 N 的 第 i 行 的 值 : 

@ N(i,))=1; 

@ 如 果 N(i,h)== 一 1 并且 WCIRCw，y) 三 threshold, 则 NG hh) 二 0(j 关 几 )。 

CW-5 主体 * 可 以 写 访问 客体 。 当 且 仅 当 N (i,j) 关 0, 并 且 对 客体 04 满足 N (i,k) 
二 0, (kj ,k0); 

CW-6 矩阵 N 中 唯一 可 以 改变 值 的 是 N (i,j7) 二 一 1。 

其 中 ,threshold 是 一 个 冰 值 ,两 个 公司 数据 集 的 冲突 关系 只 有 大 于 这 一 闽 值 , 才 会 被 
认为 这 两 个 公司 是 有 冲突 的 。 
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定律 4-6.5 一旦 一 个 主体 * 访问 过 客体 oj , 则 其 他 可 以 被 ; 访问 的 客体 ox 满足 
WCIRCw ,yw ) 和 threshold 。 


462 基于 角色 的 存 取 控 制 (RBAC) 模 型 


1. RBAC 的 基本 概念 

基于 角色 的 存 取 控制 模型 (RBAC) 提 供 了 一 种 强制 存 取 控制 机 制 。 在 一 个 采用 
RBAC 作为 授权 存 取 控制 的 系统 中 ,根据 公司 或 组 织 的 业务 特征 或 管理 需求 ,一 般 要 求 在 
系统 内 设置 若干 个 称 为 “角色 ”的 客体 ,用 以 支撑 RBAC 授权 存 取 控制 机 制 的 实现 。 所 谓 
角色 ,用 普通 业务 系统 中 的 术语 来 说 ,就 是 业务 系统 中 的 岗位 、 职 位 或 者 分 工 。 例 如 在 一 
个 公司 内 ,财会 主管 ,会计 出纳, 核算 员 等 每 一 种 岗位 都 可 以 设置 多 个 职员 具体 从 事 该 岗 
位 的 工作 ,因此 它们 都 可 以 视 为 角色 。 

在 一 个 采用 RBAC 机 制作 为 授权 存 取 控制 机 制 的 系统 中 ,由 系统 管理 员 负 责 管理 系 
统 的 角色 集合 和 存 取 权限 集合 ,并 将 这 些 权 限 (不 同类 别 和 级 别 ) 通 过 相应 的 角色 分 别 赋 
予 承担 不 同 工 作 职责 的 终端 用 户 ,而 且 还 可 以 随时 根据 业务 的 要 求 或 变化 对 角色 的 存 取 
权限 集 和 用 户 所 拥有 的 角色 集 进行 调整 ,这 里 也 包括 对 可 传递 性 的 限制 。 

在 RBAC 系统 中 ,要 求 明 确 区 分 权限 (Authority) 和 职责 (Responsibility) 这 两 个 概 
念 。 例 如 在 有 限 个 保密 级 别 的 系统 内 ,访问 权限 为 0 级 的 某 个 官员 ,就 不 能 访问 保密 级 别 
为 0 的 所 有 资源 ,此 时 0 级 是 他 的 权限 ,而 不 是 他 的 职责 。 再 如 一 个 用 户 或 操作 员 可 能 有 
权 访 问 资源 的 某 个 集合 ,但 是 不 能 涉及 有 关 授 权 分 配 等 工作 ;而 一 位 主管 安全 的 负责 人 可 
以 修改 访问 权限 ,可 以 分 配 授 权 给 各 个 操作 员 ,但 是 不 能 同时 具备 访问 / 存 取 任 何 数据 资 
源 的 权限 。 这 就 是 他 的 职责 。 这 些 职责 之 间 的 不 同 是 通过 不 同 的 角色 来 区 分 的 。 

美国 国家 标准 技术 研究 所 (NIST) 对 28 个 组 织 进行 的 调查 结果 表明 ,RBAC 的 功能 
相当 强大 ,适用 于 许多 类 型 (从 政府 机 构 到 商业 应 用 ) 的 用 户 需求 。Netware、Windows 
NT Solaris 和 SeLinux 等 操作 系统 中 都 采用 了 类 似 的 RBAC 技术 作为 存 取 控制 手段 。 


2 角色 及 用 户 组 

把 用 户 组 作为 存 取 控制 的 单位 的 做 法 常见 于 许多 存 取 控制 系统 中 。 用 户 组 和 角色 之 
间 最 主要 的 区 别 在 于 ,用 户 组 作为 用 户 的 一 个 集合 对 待 , 并 不 涉及 它 的 授权 许可 ;而 角色 
则 既是 一 个 用 户 的 集合 ,又 是 一 个 授权 许可 的 集合 。 

在 UNIX 中 用 户 组 在 两 个 文件 中 加 以 定义 (/etc/passwd 和 /etc/group) ,因此 很 容易 
判定 一 个 用 户 属 于 哪个 组 ,授权 则 以 组 为 单位 进行 。 系统 中 的 每 个 文件 或 目录 都 与 这 些 
组 确立 了 存 取 访问 的 授权 关系 ,因此 系统 对 每 个 用 户 都 可 以 判定 其 是 否 可 以 访问 某 个 文 
件 或 目录 。 

与 基于 纵向 划分 的 安全 级 别 和 类 别 的 安全 控制 机 制 相 比 ,RBAC 显示 了 较 多 机 动 灵 
活性 的 优点 。 最 主要 的 特点 是 RBAC 在 不 同 的 系统 配置 下 可 以 具备 不 同 的 安全 控制 功 
能 ,这 样 既 可 以 构造 具备 自主 存 取 控制 类 型 的 系统 ,也 可 以 构造 强制 存 取 控制 类 型 的 系 
统 ,甚至 可 以 构造 同时 兼备 这 两 种 存 取 控制 类 型 的 系统 。 

3 FEAC 模 型 的 构成 

一 般 认为 RBAC 存 取 控制 机 制 的 发 展 已 经 经 历 了 四 代 , 它 们 组 成 一 个 家 族 系列 。 
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图 4-5 给 出 了 它们 之 间 的 相互 关系 。 


RBAC, 


图 4-5 RBAC 家 族 系列 关系 示意 图 


1) 基本 模型 RBAC。 

RBAC。 由 四 个 基本 要 素 构 成 , 即 用 户 (U)、 角 色 (R) 会话 (S) 和 授权 (P)。 一 个 系统 
中 有 多 个 用 户 和 多 个 角色 ,同时 对 每 个 角色 设置 了 多 个 授权 关系 , 称 这 种 授权 关系 为 权限 
的 赋予 (PA)。 在 RBAC 存 取 控制 体系 中 ,用 户 与 角色 的 关系 是 多 对 多 的 关系 。 在 英文 
中 常常 使 用 Authorization、Access Right、Privilege 和 Permission, 中 文 的 含义 就 是 授权 。 
另外 ,应 该 注意 的 是 在 某 些 文献 中 所 定义 的 负 授 权 , 实 际 上 就 是 定义 一 些 条 件 , 令 某 些 用 
户 在 某 种 条 件 下 不 能 访问 某 些 数据 资源 。 也 有 些 文献 中 不 使 用 负 授 权 的 说 法 ,类 似 的 机 
制 通过 约束 条 件 (Constraint) 来 达到 ,本 书 采 第 二 种 方法 。 授 权 机 制 从 某 个 角度 看 可 以 视 
为 在 系统 内 通过 特定 的 操作 将 主体 与 动作 客体 联结 起 来 ,语义 可 以 是 允许 读 、 允 许 修 改 、 
允许 创建 等 。 系 统 不 同 ,客体 的 种 类 可 能 不 同 。 在 操作 系统 中 ,通常 考虑 的 客体 是 文件 、 
目录 、 端 口 、 设 备 等 ,操作 则 为 读 取 、 写 和 人、 打开 、 关 闭 及 运行 等 。 RBAC 模型 中 的 授权 ,就 
是 将 这 些 客体 的 存 取 访问 的 权限 在 可 靠 的 控制 下 联 带 角色 所 需要 的 操作 ,一 起 提供 给 那 
些 角 色 所 代表 的 用 户 。 通 过 授权 的 管理 机 制 ,可 以 给 予 一 个 角色 多 个 授权 ,而 一 个 授权 也 
可 以 赋予 多 个 角色 。 同 时 ,一 个 用 户 可 以 扮演 多 个 角色 ,一 个 角色 可 以 接纳 多 个 用 户 。 不 
难看 出 ,相对 用 户 和 授权 之 间 直 接 关联 的 方法 ,RBAC 系统 能 够 以 简单 的 方式 向 最 终 用 户 
提供 语义 更 为 丰富 ,得 到 完整 控制 的 存 取 功能 。 

2) 会 话 (Session) 

在 RBAC 系统 中 ,每 个 用 户 进 入 系统 得 到 控制 权时 ,就 得 到 了 一 个 会 话 。 每 个 会 话 
都 是 动态 产生 的 ,从 属于 一 个 用 户 。 只 要 静态 定义 过 这 些 角色 与 该 用 户 的 关系 ,会 话 就 会 
根据 用 户 的 要 求 负 责 将 它 映射 到 多 个 角色 上 。 一 个 会 话 可 能 激活 的 角色 是 该 用 户 的 全 部 
角色 的 一 个 子 集 。 对 于 该 用 户 而 言 ,在 一 个 会 话 内 可 以 获得 全 部 被 激活 的 角色 所 代表 的 
授权 。 在 工作 站 环境 下 ,一 个 用 户 可 以 同时 打开 多 个 会 话 , 每 个 会 话 与 一 个 窗口 相关 联 。 
引入 会 话 概 念 后 ,可 以 允许 在 一 个 系统 中 并 存 两 个 以 上 的 存 取 控 制 机 制 。 角 色 和 会 话 的 
设置 带 来 的 益处 之 一 是 容易 实施 最 小 特权 原则 (Least-Privilege Principle) , 即 在 一 个 安全 
系统 内 部 ,不 会 给 予 用 户 超 过 执行 任务 时 所 需 特权 以 外 的 特权 。 

3) RBAC。 的 形式 定义 

定义 4-6.9 RBAC, 模型 包括 下 列 几 个 部 分 : 

UR、P 及 S( 用 户 、 角 色 、 授 权 和 会 话 ) 
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PACPXR,PA 是 授权 到 角色 的 多 对 多 关系 。 

UASUXR,UA 是 用 户 到 角色 的 多 对 多 关系 。 

roles(S;)E{r| (user(S;),r) EUA} 
其 中 

user: SU ,将 各 个 会 话 映 射 到 一 个 用 户 的 函数 user(S;i)。 

roles: S 一 28 ,将 各 个 会 话 S; 与 一 个 角色 集合 连接 起 来 的 映射 ,随时 间 变 化 可 以 变 
化 , 且 会 话 S 的 授权 UrEroles(s;){pl(p,r)EPA)。 

在 RBAC 中 每 个 角色 至 少 具备 一 个 授权 ,每 个 用 户 至 少 扮演 一 个 角色 ,虽然 从 形式 
定义 上 看 并 不 要 求 这 一 点 。 

4) 角色 的 层次 结构 RBAC (RH) 

在 一 般 的 单位 或 组 织 中 ,特权 或 职权 通常 具有 线性 关系 ,因此 在 RBAC 中 引进 一 定 
的 层次 结构 。 在 多 级 安全 控制 系统 内 , 存 取 类 的 保密 级 别 是 线性 排列 的 。 例 如 

公开 二 秘密 二 机 密 二 绝密 

其 中 安全 策略 的 一 个 要 求 是 ,要 想 合 法 获得 信息 ,提出 存 取 请 求人 员 的 存 取 类 的 级 别 要 大 
于 信息 的 存 取 类 级 别 。RBAC, 中 支持 的 层次 关系 ,可 以 容易 地 实现 多 级 安全 系统 所 要 求 
的 保密 级 别 的 线性 排列 要 求 。 

多 级 安全 系统 的 另 一 个 要 求 是 支持 范畴 ,范畴 是 互相 独立 和 无 序 的 。 为 了 获得 信息 
的 存 取 权 , 提 出 存 取 请 求 的 人 员 必 须 具备 一 定 的 存 取 类 ,他 的 存 取 类 范畴 的 集合 应 该 包括 
信息 存 取 类 的 全 部 范畴 。 角 色 层 次 结构 RBAC (RH) 中 的 角色 ,可 以 容易 地 实现 所 要 求 
的 保密 存 取 类 的 范畴 要 求 。 

用 数学 的 语言 来 说 ,就 是 要 求 所 使 用 的 安全 模型 必须 是 偏 序 的 。RBAC 对 层次 角色 
的 支持 包括 对 偏 序 模型 的 支持 。 限 于 篇 幅 此 处 只 简单 介绍 RBAC, 的 形式 定义 。 

5) RBAC 形式 定义 

定义 4-6.10 ”RBAC, 模型 包括 下 列 几 个 部 分 : 

UR、P 及 S( 用 户 、 角 色 、 授 权 和 会 话 ) 

PACPXR,PA 是 授权 到 角色 的 多 对 多 关系 。 

UACUXR,UA 是 用 户 到 角色 的 多 对 多 关系 。 

RHSRXR,RH 是 角色 的 一 个 偏 序 关系 , 称 为 角色 层次 关系 或 支配 关系 ,一 般 记 作 


roles(S;)) CE {r| 3 ruser(S,),r) EUA]) 

其 中 

user: SU ,将 各 个 会 话 映射 到 一 个 用 户 的 函数 user(S;)。 

roles: S>2* ,将 各 个 会 话 S; 与 一 个 角色 集合 连接 起 来 的 映射 ,随时 间 变 化 可 以 变 
化 , 且 会 话 Si 的 授权 UUrE€Eroles(s;){pl(p.r)EPA})。 

6) 约束 模型 RBAC:(RH) 

RBAC 的 另 一 个 增强 方向 是 RBAC, , 即 所 谓 约束 模型 。RBAC 和 RBAC, 之 间 是 
互 不 相关 的 ,因此 是 不 可 比较 的 。 作 为 一 个 完整 的 安全 模型 ,约束 增强 是 非常 重要 的 性 
能 。 在 绝 大 多 数组 织 中 ,除了 角色 的 层次 关系 以 外 ,经 常 要 考虑 的 问题 还 有 : 一 个 公司 的 
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采购 员 和 出 纳 员 虽然 都 不 算是 高 层次 的 角色 ,但 是 任何 一 个 公司 都 不 会 允许 同时 分 配给 
某 一 个 具体 人 员 这 两 个 角色 。 不 论 一 个 系统 是 否 具 备 层 次 角色 的 机 制 ,约束 机 制 都 很 重 
要 。 特 别 对 高 级 决策 者 ,约束 机 制 更 为 重要 。 实 际 上 通过 约束 机 制 ,RBAC 可 以 实现 强制 
安全 控制 ,包括 对 RBAC 本 身 的 管理 和 控制 。 

定义 4-6.11 RBAC，, 约束 模型 定义 为 : 

RBAC; 包含 RBAC。 所 有 基本 特性 ,并 增加 了 对 RBAC。 所 有 组 成 元 素 的 核查 过 程 ， 
只 有 有 效 的 元 素 才 可 被 接受 。 

在 RBAC, 中 约束 条 件 指向 UA .PA 和 会 话 中 的 user、role 等 函数 。 一 般 说 来 最 好 是 
根据 其 实际 的 类 型 和 属性 加 以 陈述 。 这 样 就 要 考虑 语言 等 环境 ,所 以 较 难 给 约束 模型 以 
一 个 严格 的 形式 定义 。 在 实际 的 安全 系统 中 ,约束 条 件 和 实现 的 方式 各 有 不 同 , 多 数 专家 
倾向 采取 尽 可 能 简单 和 高 效 的 约束 条 件 ,作为 实际 RBAC 系统 的 约束 机 制 。 

7) 角色 互 斥 及 其 他 常用 的 约束 

RBAC 模型 中 最 常见 的 约束 条 件 就 是 角色 的 互 斥 状态 ,一 个 用 户 在 两 个 互 斥 的 角色 
集中 只 能 分 配给 它 其 中 一 个 集合 中 的 角色 。 上 面 提 及 的 采购 员 和 出 纳 员 的 互 斥 就 是 典型 
的 角色 互 斥 的 例子 。 

与 角色 互 斥 相似 的 是 授权 的 互 斥 机 制 , 显 然 在 特权 授予 过 程 中 的 双重 约束 可 以 提供 
进一步 的 安全 保证 ,对 特权 授予 予以 约束 的 根本 目的 在 于 防止 系统 内 重要 特权 的 失控 。 

由 于 RBAC 存 取 控 制 机 制 成 功 实现 了 用 户 - 角 色 和 角色 -授权 过 程 的 完全 分 离 , 所 以 
可 以 方便 地 在 这 两 个 过 程 中 依据 企业 的 安全 策略 施加 各 种 附加 的 约束 ,从 而 实现 了 对 用 
户 存 取信 息 活动 的 灵活 控制 ,这 就 是 RBAC 存 取 控制 机 制 在 授权 控制 方面 优势 所 在 。 例 
如 有 时 依据 企业 的 特定 安全 策略 ,可 以 对 角色 授予 不 同 用 户 的 次 数 进 行 约束 ,譬如 某 个 岗 
位 只 允许 安排 两 个 用 户 。 这 样 系统 管理 员 在 执行 UA 时 就 受到 公司 规定 的 有 效 约束 。 
此 外 ,可 以 对 角色 施加 前 提 约 束 , 即 某 个 用 户 被 指派 为 角色 A 的 前 提 条 件 是 已 经 被 指派 
为 角色 B。 例 如 要 扮演 董事 长 的 角色 ,必须 先 选 入 董事 会 ;要 成 为 项 目的 测试 组 成 员 , 必 
须 首 先 成 为 项 目 组 的 成 员 等 。 


463 域 型 强制 实施 (DIE) 模 型 


DTE 模型 最 初 由 Boebert 和 Kain 提出 ,经 修改 后 在 LOCK 系统 中 得 到 实现 。 与 其 
他 访问 控制 机 制 一 样 ,DTE 将 系统 视 为 一 个 主动 实体 (主体 ) 的 集合 和 一 个 被 动 实体 ( 客 
体 ) 的 集合 。 每 个 主体 有 一 个 属性 一 一 域 ,每 个 客体 有 一 个 属性 一 一 类 型 ,这 样 所 有 的 主 
体 被 划分 到 若干 个 域 中 ,所 有 的 客体 被 划分 到 若干 个 类 型 中 。 

DTE 需要 建立 两 张 表 , 其 中 一 张 表 是 “ 域 定义 表 ”(Domain Definition Table) ,描述 各 
个 域 对 不 同类 型 客体 的 操作 权限 ; 另 一 张 表 是 “ 域 交互 表 ”(Domain Interaction Table) , 描 
述 各 个 域 之 间 的 许可 访问 模式 (如 创建 ,发 信号 、 域 转换 )。 

系统 运行 时 ,依据 访问 的 主体 域 和 客体 类 型 ,查找 域 定义 表 , 决 定 是 否 允 许 访问 ,访问 
模式 包括 : 

(1) 文件 类 : 文件 读 (r) ,文件 写 (w) ,文件 执行 (x) ,文件 追加 (a) 。 

(2) 目录 类 : 目录 读 (1) ,目录 写 (c) ,目录 执行 即 目 录 查 找 (d) 。 
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当 一 个 域 执行 另 一 个 域 的 入 口 点 文件 时 ,有 三 类 可 能 的 域 转换 : 

(1) 自动 转换 (auto) 。 每 次 执行 execve 调用 时 ,必须 检查 被 执行 的 文件 是 否 为 当前 
域 能 auto 访问 的 目标 域 的 入口 点 ,如 果 是 ,就 自动 进行 域 转换 。 

(2) 自愿 转换 (exec) 。 若 被 执行 的 文件 是 当前 域 能 exec 访问 的 目标 域 的 人口 点 ,而 
进程 又 要 求 进行 这 个 域 转换 ,那么 域 转换 发 生 。 

(3) 空 的 域 转换 Cnone) 。 域 没有 发 生变 化 。 

因此 ,在 DTE 模型 中 ,进程 只 携带 它 本 身 运行 的 域 的 指示 器 ,这 决定 了 进程 的 访问 
权限 。 进 程 只 在 文件 执行 可 以 进入 一 个 新 的 域 ( 因 而 改变 其 访问 权 )。 

DTE 模型 有 策略 中 立 的 优势 ,但 在 实际 应 用 中 , 它 的 两 张 访问 控制 表 会 迅速 膨胀 , 变 
得 很 复杂 ,很 难 验证 其 安全 性 。 


47 安全 性 分 析 模 型 


这 里 主要 介绍 可 用 于 安全 性 分 析 ( 如 隐蔽 通道 ) 的 信息 流 模型 和 无 干扰 安全 模型 。 
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1. 信息 流 模型 概述 

许多 信息 泄露 问题 (如 隐蔽 通道 ) 并 非 存 取 控 制 机 制 不 完善 ,而 是 由 于 缺乏 对 信息 流 
的 必要 保护 。 例 如 遵守 BLP 模型 的 系统 ,应 当 遵 守 “ 下 读 上 写 ” 的 规则 , 即 低 安全 进程 不 
能 读 高 安全 级 文件 ,高 安全 级 进程 不 能 写 低 安全 级 文件 。 然 而 在 实际 系统 中 ,尽管 不 一 定 
能 直接 为 主体 所 见 ,许多 客体 (包括 缓冲 池 定额 变量 .全程 计 数 器 等 ) 还 是 可 以 被 所 有 不 
同安 全 级 的 主体 更 改 和 读 取 ,这 样 入侵 者 就 可 能 利用 这 些 客体 间接 地 传递 信息 。 要 建立 
高 级 别 的 安全 操作 系统 ,必须 在 建立 完善 的 存 取 控制 机 制 的 同时 ,依据 适当 的 信息 流 模型 
实现 对 信息 流 的 分 析 和 控制 。 

信息 流 模型 是 存 取 控 制 模型 的 一 种 变形 。 这 类 模型 不 检查 主体 对 客体 的 存 取 ,而 是 
试图 控制 从 一 个 客体 到 另 一 个 客体 的 信息 传输 过 程 ,根据 两 个 客体 的 安全 属性 来 决定 是 
和 否 允 许 当 前 操作 的 进行 。 信 息 流 模型 与 存 取 控 制 模型 之 间 的 差异 很 小 ,但 就 是 这 很 小 的 
差别 , 却 足以 帮助 我 们 完成 存 取 控 制 模型 无 能 为 力 的 工作 一 一 识别 隐蔽 通道 。 隐 蔽 通道 
的 核心 是 低 安全 等 级 主体 对 于 高 安全 等 级 主体 所 产生 信息 的 间接 读 取 ,信息 流 分 析 能 保 
证 当 对 敏感 信息 存 取 时 不 会 造成 信息 的 泄露 。 

下 面 主 要 以 D. Denning 提出 格 模型 为 例 来 介绍 信息 流 模型 。 


2 格 结构 
通用 的 有 界 格 是 由 一 个 有 限 的 偏 序 集 构成 的 有 最 小 上 界 和 最 大 下 界 操作 符 的 数学 
结构 。 为 表明 (S, 下 ,十 , * ) 构 成 一 个 这 样 的 格 ,必须 证 明 下 列 性 质 : 
。 (S, 一 ) 是 个 偏 序 集 ( 即 具有 自 反 性 .传递 性 和 反对 称 性 ); 
。S 是 有 限 的 ; 
。S 有 下 界 工 ,对 于 S 中 的 所 有 A ,有 工 一 A; 
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。 十 是 S 上 的 最 小 上 界 操 作 符 。 

这 些 假定 意味 着 在 S 上 存在 最 大 下 界 操 作 符 (用 * 表示 ), 进 而 还 可 以 推出 存在 唯一 
的 上 界 态 。 从 而 结构 (S, 一 ,十 , * ) 是 格 , 上 界 是 互 , 下 界 是 工 。 最 小 上 界 操作 符 用 下 面 
的 方式 定义 : 

对 于 S 中 的 所 有 a 和 2 ,存在 唯一 的 类 cES,c 王 aa 十 0 使 ae 一 c 和 0 一 c, 且 若 < 一 g& 和 
bd, 则 对 于 S 中 所 有 的 d, 有 cd。 

最 大 下 界 操 作 符 用 下 面 的 方式 定义 : 

对 S 中 的 所 有 a 和 6, 存在 唯一 的 cES .c= 二 a #5, 使 c>a 和 cc 一 6b, 且 车 d>a 和 dd 一 
0, 则 对 于 S 中 所 有 的 d, 有 dc。 


3. 典型 的 格 结构 

图 4-6 和 图 4-7 是 两 种 常见 的 格 结构 。 图 4-6 是 个 类 0,1,…,n 一 1 上 的 线性 优先 
权 格 ,箭头 表示 i>j。 线 性 格 是 最 简单 的 一 种 格 , 它 的 流 关系 常用 三 表示 。 这 个 格 描述 了 
n 个 类 之 间 的 线性 次 序 , 对 所 有 的 i 和 jE[0,mj],i 二 j= 二 max(i,j) ,ix*j 二 min(i,j) ,LL 二 
0, 电 二 m。 这 种 格 可 用 于 简单 的 约束 问题 , 即 n= 二 2, 其 中 非 机 密 是 0, 机密 是 1; 也 可 以 用 
于 普通 军事 安全 问题 , 即 n= 二 4, 其 中 不 保密 是 0, 机 密 是 1, 秘 密 是 2, 绝密 是 3。 


S={0,1, ,1} 四 

t S={000,001..7,111} 

111 

137 i<j m a 

| A3B OR B)-B Wd J 
itj =max 信访 | A+B=OR(4, B) | 了 > 
ixj=min(i, 放 1 A*B=AND(A, B) 100 010 001 
L=0, H=m t SS 

0 1=000, H=111 000 
描述 优先 图 描述 优先 图 

图 4-6 线性 优先 权 格 图 4-7 一 3 时 的 所 有 权 格 


图 4-7 表示 一 种 更 复杂 的 所 有 权 格 。 它 描述 了 2”"( 这 里 "二 3) 个 子 集 之 间 的 包含 关 
系 , 这 是 一 种 非 线 性 次 序 , 箭 头 代 表 所 有 权 关 系 。 该 图 可 以 推广 到 任意 的 nn 值 ,并 且 可 用 
于 有 如 下 特性 的 系统 : 信息 只 能 流向 与 出 发 点 的 类 至 少 有 相同 的 所 有 权 的 类 。 这 种 格 
中 , 流 关系 通常 用 三 表示 。 最 小 上 限 对 应 于 集合 中 的 并 集 , 最 大 下 限 对 应 于 集合 中 的 交 
集 , 最 低 类 对 应 于 空 集 ,最 高 类 对 应 于 全 集 。 

这 种 格 比较 适合 说 明 任意 的 输入 输出 关系 。 假 定 一 个 程序 有 m 个 输入 参数 zj，…， 
zm 和 7 个 输出 参数 y1,…,y, ,使 得 每 个 输出 参数 只 决定 于 某 些 输入 。 所 有 权 格 可 以 从 
二 {xz ，… ,zm) 的 子 集 构造 。 与 每 个 输入 xz; 相 联系 的 类 是 单元 素 集合 # xz; 一 {xi;) ,并 且 
与 每 个 输出 相 联 系 的 类 是 集合 # yj 一 {zxi|zxi>y 是 容许 的 }。 所 有 权 格 也 可 以 描述 策略 ， 
其 中 X 是 范畴 的 集合 ,范畴 组 合 为 类 。 当 且 仅 当 4b 至 少 具备 a 的 性 质 时 ,客体 a 的 信息 
才 允 许 流 和 人 客体。。 

线性 格 和 所 有 权 格 的 组 合 可 以 构造 出 更 丰富 的 格 。 军 事 多 级 安全 策略 的 安全 类 是 由 
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安全 级 的 线性 格 和 范畴 的 所 有 权 格 的 笛 卡 儿 积 决定 的 格 。 令 (A,C) 和 (A’,C') 为 安全 类 ， 
其 中 A 和 A' 是 安全 级 ,C 和 C' 是 范畴 。 则 

(A,0) 一 > (A',C') 当 且 仅 当 A 寺 A',CCSC 

(AD 二 (ACT = Cmax(AsAYsC UC 

CASCO (AC) = (min(AsA’ CN CY 

工 一 (0,{)) = (不 保密 ,{})) 

百 = (3,X) = (绝密 ,X) 
其 中 ,X 是 全 集 。 可 见 格 模型 确实 是 Bell LaPadula 模型 的 扩展 。 


4 信息 流 格 模型 中 的 信息 状态 和 策略 描述 

系统 的 信息 状态 由 系统 中 每 个 客体 的 值 和 安全 类 描述 。 客 体 可 以 是 一 种 逻辑 结构 
(如 文件 ,记录 、 记 录 中 的 字段 或 程序 变量 等 ) 或 物理 结构 (如 存储 单元 、 寄 存 器 等 )。 一 个 
流 可 以 用 (S, 一 ) 表 示 , 其 中 S 是 安全 类 的 集合 ,一 是 说 明 两 个 类 之 间 可 容许 的 流 的 一 个 
流 关系 。 每 个 存储 客体 zx 被 指定 一 个 安全 类 ,表示 为 #x+。 用 记号 #x 习 #y 表示 流 策 略 
容许 从 客体 x 到 客体 y 的 流 。 客 体 的 类 可 以 不 变 , 也 可 以 改变 。 采 用 不 变 类 或 静态 连接 
时 ,在 x 存在 期 间 , 客 体 的 类 保持 不 变 ; 采 用 可 变 类 或 动态 连接 时 ,客体 的 类 随 着 它 的 内 
容 而 变化 。 

给 定 客体 xz 和 yy, 当 且 仅 当 #x 一 #y 时 ,根据 流 策略 从 xz 到 y 的 流 是 许可 的 ; 若 y 有 
可 变 类 , 则 在 这 个 流 之 后 的 #y 就 是 它 的 类 。 假 定 每 个 客体 与 某 个 安全 类 的 绑 定 关系 是 
静态 的 ,并 且 可 以 由 程序 声明 。 多 级 安全 的 信息 流 策略 允许 信息 在 一 类 之 中 或 向 上 一 级 
类 流动 ,但 不 允许 向 下 或 向 无 关 的 类 流动 。 对 安全 类 #z 和 划 y, 关 系 #xz#y 意味 着 类 
#x 的 信息 低 于 或 等 于 类 #y 的 信息 。 因 此 , 当 且 仅 当 #x 习 #y 时 ,类 #zx 的 信息 才 可 以 
允许 流入 类 #y。 

假定 安全 类 是 有 限 个 ,并 且 流 关系 具有 自 反 性 ( 即 #x 一 #z) ,传递 性 ( 即 着 #x 一 #y 
和 提 y 悦 #z, 则 间 zx 习 #z) 和 反对 称 性 ( 即 车 共 x 一 #y 和 井 y 一 #z 则 #z 一 #y)。 这 样 
就 可 以 假定 (S, 一 ) 是 格 。 这 意味 着 对 应 于 任何 两 个 类 ,只 有 唯一 的 上 界 和 下 界 。 如 果 
(S, 一 ) 不 是 格 , 可 以 把 它 变 形 为 一 个 格 ,不 过 要 加 上 新 的 必要 的 类 ,并 且 不 改变 原来 的 类 
之 间 的 流 , 如 图 4-8 所 示 。 格 性 质 被 用 来 构造 一 个 有 效 的 证 明 机 制 。 


F E > 

| C > 上 用 ! DF 
| SC 
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A B ™ / 


图 4-8 非 格 策略 变 成 格 
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用 符号 十 和 * 分 别 表示 格 上 的 结合 和 交换 的 最 小 上 界 和 最 大 下 界 操 作 符 。 定 义 最 小 
上 界 , 使 得 # zi 一 #y 对 每 个 ;一 1,2,…，,m2, 等 价 于 关系 井 阅 十 井 zz 十 … 十 井 zn 一 井 y。 
这 等 于 说 ,来 自 不 同 操作 数 类 的 流 在 流向 一 个 指定 的 结果 类 时 必须 经 过 一 个 特定 的 公共 
类 。 同 时 ,定义 最 大 下 界 ,使 得 #zx 一 #y; 对 每 个 j= 二 1,2,…,n, 等 价 于 关系 #zx 玉 基 yi* 
# ys * ,… ,x #y, ,就 是 说 ,来 自 一 个 给 定 的 操作 数 类 的 流 在 流向 不 同 的 结果 类 时 必须 经 
过 一 个 公共 类 。 有 一 个 最 大 的 类 互 , 它 是 所 有 类 的 最 小 上 界 ; 还 有 一 个 最 小 类 工 , 它 是 所 
有 类 的 最 大 下 界 。 

各 种 不 知名 的 编程 语言 常数 都 是 工 的 成 员 。 这 个 假定 是 合理 的 ,因为 流入 一 个 变量 
(例如 zz) 的 一 个 普通 常数 (例如 100) 流 不 能 把 其 他 客体 的 任何 信息 带 入 xz。 仅 当 已 知 100 
是 客体 y 的 值 时 , 才 需 要 防止 #y 一 上 #z。 不 过 ,这 是 要 约束 来 自 y 的 流 ,而 不 是 要 约束 来 
自 100 的 流 完 成 的 。 


5 状态 转移 和 信息 流 

只 要 存储 在 客体 zx 中 的 信息 被 传 向 客体 y, 或 x 被 用 于 推导 传 向 y 的 信息 ,就 有 从 z+ 
到 y 的 信息 流 存在 ,用 x 二 二 y 表示 。 当 一 个 程序 语句 的 执行 可 以 导致 一 个 流 x 二 二 y 
时 ,该 程序 语句 指定 一 个 流 xz 二 之 y。 流 可 以 是 显 式 的 或 是 隐 式 的 。 一 个 显 流 x 三 二 y 是 
指 生成 这 个 流 的 操作 是 独立 于 xz 的 值 的 。 赋 值 语句 、1/O 语句 .返回 数值 的 函数 调用 都 生 
成 显 流 。 一 个 隐 流 z= 二 y 是 指 一 个 语句 指定 一 个 从 一 些 任意 的 x 到 y 的 流 , 但 是 执行 
依赖 于 xz 的 值 。 例 如 考虑 语句 


y:=1; 
ifx0; 
then y:= 0; 
其 中 ,x 要 么 是 0, 要 人 么 是 1。 执 行 这 些 语句 的 结果 ,无 论 then 从 句 是 否 执行 ,都 有 
ZX 三 y。 因 此 ,if 语句 导致 一 个 隐 流 x 二 y。 一 般 而 言 ,几乎 所 有 的 条 件 结构 都 生成 隐 流 。 
三 二 关系 是 传递 性 的 ,就 是 说 ,+ 二 二 y 和 yy 一 二 = 意味 着 + 二 二 >。 如 果 由 于 某 个 以 x 
为 操作 数 的 函数 把 值 存储 在 y 中 而 使 + 二 二 y ,该 流 就 是 直接 流 ,否则 就 是 间接 流 。 赋 值 
语句 


导致 直接 流 zx 一 之 y; 而 语句 
z: = 让 
yi = fz) 
间接 导致 流 zx 一 二 y。 
状态 转移 以 生成 或 删除 客体 的 操作 、 改 变 客体 的 值 或 安全 类 的 操作 构成 模型 。 信 息 
流 总 是 与 改变 客体 取 值 的 操作 连 在 一 起 。 例 如 ,文件 复制 操作 copy(F1,F2) 造 成 信息 从 
Fl 流向 F2。 按 照 信息 论 , 流 xz 二 二 y 传递 的 信息 量 是 由 xz 的 不 确定 性 的 减少 来 度量 的 。 
考察 语句 系列 
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这 个 系列 的 执行 导致 通过 中 间 变 量 = 的 一 个 间接 流 x 一 二 y 和 直接 流 x 一 二 ,但 是 
未 造成 流 > 一 之 y, 因 为 y 的 终 值 没有 揭示 有 关 >* 的 初 值 的 任何 信息 。 


6 安全 要 求 与 证 明 机 制 
一 个 程序 p 是 安全 的 , 当 且 仪 当 执行 p 不 能 导致 流 z+ 二 y, 除 非 #zx 习 #y。 从 而 ， 
安全 的 一 个 充 要 条 件 是 
仅 当 ##zx 一 #y 时， 对 于 户 的 某 个 执行 ， 有 并 = 之 y Cy 
不 过 ,条 件 (1) 一 般 是 不 可 判定 的 。 任 何 假定 能 判定 条 件 (1) 的 程序 都 有 可 能 用 于 语 
句 “if f(x) 中 止 then y: 王 0”, 并 进而 为 任意 递归 函数 的 中 止 问题 提供 一 个 解决 方案 。 
如 果 用 下 面 的 安全 条 件 
仅 当 x 一 #y 时 ， 由 户 指定 zz 一 之 y 《2 
代 蔡 (1) ,不 可 判定 性 就 被 消除 了 。 对 这 个 条 件 ,前 面 的 让 语句 可 以 被 明确 检验 。 但 是 ， 
在 程序 验证 中 ,安全 条 件 (1) 比 条 件 (2) 更 精确 ,例如 ,考虑 程序 


if x=0 then if x< >0 then y:=z 


和 一 个 不 允许 x 二 之 y 的 流 关系 。 按 条 件 (1) ,该 程序 是 安全 的 ,因为 它 的 执行 不 会 导致 
三 之 ,但 是 用 基于 条 件 (2) 的 机 制 它 就 不 能 被 验证 ,因为 它 指定 x 二 二 y。 但 是 ,这 种 精确 
度 的 损失 是 不 可 避免 的 。 

尽管 精度 差 些 ,一 般 采 用 的 证 明 机 制 仍然 是 基于 条 件 (2) 的 。 该 条 件 能 确定 一 个 给 定 
的 程序 是 否 导致 有 效 的 流 ,不管 该 程序 是 否 能 执行 那些 能 导致 流 的 语句 。 

如 果 变 量 的 安全 类 已 经 在 程序 中 声明 并 且 是 静态 的 ,那么 把 证 明 进程 腻 入 到 编译 带 
的 分 析 阶 段 中 是 一 件 很 容易 的 工作 。 这 种 机 制 以 证 明 语 义学 为 表现 形式 ,只 要 识别 出 一 
串 给 定 的 语法 类 型 ,该 机 制 就 会 连同 通常 的 语义 动作 (例如 类 型 检查 和 代码 生成 ) 一 起 ,以 
辅助 编译 的 形式 出 现 。 

当 外 部 客体 (例如 文件 或 已 被 分 别 编译 的 程序 ) 被 连接 到 某 程序 上 时 ,连接 器 必然 核 
实 每 个 这 样 的 客体 的 实际 安全 类 是 否 正 确 地 对 应 于 程序 为 它 正式 声明 的 安全 类 。 这 一 步 
必须 在 程序 执行 前 完成 。 

证 明 机 制 利 用 格 性 质 提 高 效率 。 传 递 性 的 流 关系 暗示 安全 直接 流 序列 是 安全 的 ,从 
而 语义 分 析 只 需要 证 明 每 个 语义 类 型 指示 的 直接 流 是 安全 的 。 最 小 上 界 和 最 大 下 界 性 质 
极 大 地 简化 了 为 追踪 流 的 源 点 和 目的 地 所 需要 的 信息 数量 。 假 设 对 于 接收 客体 y 而 言 ， 
ZX1,X2，"… ,Tm 是 信息 的 源 点 ,其 是 用 “y:= (zzz,…,zn)2? 或 者 “output zi ,za ，…zoto 
y” 来 指定 的 。 编 译 器 构造 A 二 #z 十 # x2，…, 十 #xs 作为 被 识别 的 源 点 ,而 不 是 用 “对 
每 个 i, 有 划一 上 表示 ,因为 仅 需要 验证 A 一 #y, 即 用 一 个 内 部 变量 来 表示 所 需 源 点 
客体 的 最 大 类 。 又 如 ,假设 wm ,y ,…,y 将 要 接收 来 自 源 点 客体 z 的 信息 ,用 “input yw ， 
yz2，"… ,ynfrom zx” 或 一 个 结构 来 指定 ,该 结构 生成 从 条 件 表达 式 中 的 客体 zx 到 该 结构 范围 
内 的 客体 y; 的 隐 流 。 编 译 器 构造 B= 二 # yi x # ys…,* #y, 作为 被 识别 的 接收 客体 ,而 
不 是 用 “对 每 个 j, 有 #zx 阅 #y;” 表 示 , 因 为 仅 需 验证 #z 一 B, 即 用 一 个 单独 的 内 部 变量 
表示 需要 的 接收 客体 的 最 小 类 就 行 了 。 

整个 机 制 可 以 分 为 四 部 分 , 即 赋 值 . 输 入 输出 ,简单 控制 结构 ,一 般 控制 结构 和 复杂 数 

101 


Eee 操作 系统 安全 (第 2 版 ) gl 
据 结构 ,程序 调用 ,以 及 例外 情况 处 理 。 
472 无 干扰 模型 


Goguen 与 Meseguer 在 1982 年 提出 了 一 种 基于 自动 机 理论 和 域 隔离 的 安全 系统 事 
项 方法 ,这 个 方法 分 为 四 个 阶段 。 

(1) 判定 一 给 定 机 构 的 安全 需求 ; 

(2) 用 正式 /形式 化 的 安全 策略 表示 这 些 需求 ; 

(3) 把 机 构 正 在 (或 将 要 ) 使 用 的 系统 模型 化 ; 

(4) 验证 此 模型 满足 策略 的 需求 。 

Goguen 与 Meseguer 把 安全 策略 与 安全 模型 明确 地 区 分 开 来 。 一 般 来 说 ,安全 策略 
是 非常 简单 的 ,而 且 很 容易 用 适当 的 形式 化 方法 表示 出 来 。 他 们 提出 了 一 种 非常 简单 的 
用 来 表达 安全 策略 的 需求 语言 ,该 语言 是 基于 无 干扰 概念 的 : 

有 两 组 用 户 ,每 组 用 户 分 别 使 用 一 组 命令 ,如 果 一 组 用 户 所 使 用 的 命令 不 会 对 另 一 组 
用 户 能 访问 的 数据 产生 影响 ,那么 说 这 两 组 用 户 间 是 无 干扰 的 ( 互 不 干涉 )。 

无 干扰 模型 包括 以 下 内 容 : 

。 一 个 用 户 集合 (ww ,ws,…,w) ,他 们 的 安全 级 或 高 或 低 ; 

。 一 个 输入 集合 {wi ,ws ，… ,tw,) ,其 中 vw; 表示 用 户 u; 对 系统 的 输入 ; 

。 一 个 输入 流 ww,w 由 {wi ,two，…,w,}) 中 的 所 有 输入 组 成 ; 

。 一 个 输出 集合 {[w,1],[w,2],…,[w,nj) ,其 中 [w, 直 表示 用 户 u 收 到 的 系统 

输出 ; 
。 一 个 净化 函数 PG;([w, 门 ) , 它 依据 剔除 用 户 的 输入 流 w 产生 输出 序列 。 
无 干扰 模型 如 图 4-9 所 示 。 


w,l w,l 
Se ul 


System 


Ww,2 


图 4-9 无 干扰 模型 


如 果 系 统 对 所 有 用 户 的 输出 序列 ,等 同 于 剔除 安全 级 更 高 用 户 的 输入 之 后 的 输出 序 
列 , 则 称 这 种 系统 是 无 干扰 安全 的 。 即 如 果 低 安全 级 的 用 户 观 察 系统 的 输出 时 ,该 系统 中 
存在 更 高 安全 级 用 户 ,那么 满足 无 干扰 安全 的 条 件 是 ,使 低 安全 级 的 用 户 观察 到 的 结果 与 
不 存在 更 高 安全 级 用 户 是 一 样 的 。 条 件 可 以 表达 如 下 : 

label(u;) > label(u;) => [wj = PG;(Lw,j]) 

无 干扰 安全 的 条 件 , 看 起 来 没有 BLP 模型 的 “不 上 读 ,不 下 写 ” 直 观 , 但 很 多 研究 者 认 
为 它 最 接近 保密 性 安全 的 实质 。 

从 无 干扰 理论 的 架构 可 以 看 出 , 它 处 理 的 主要 是 主动 实体 之 间 相 互 有 无 干扰 的 问题 。 
自从 无 干扰 理论 的 提出 ,无 干扰 理论 研究 主要 集中 在 两 方面 : 一 方面 是 推广 无 干扰 的 定 
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义 , 另 一 方面 是 应 用 于 实际 系统 的 研究 。 在 推广 无 干扰 定义 方面 ,主要 是 寻找 无 干扰 可 复 
合 性 的 限制 。 在 应 用 与 实际 系统 的 研究 方面 ,无 干扰 理论 曾 用 于 描述 SAT 的 两 个 安全 策 
略 : 多 级 安全 策略 (MLS) 和 多 域 安全 策略 (MDS) 。 第 一 次 指出 了 策略 的 两 个 属性 : 可 传 
递 性 和 不 可 传递 性 ,并 指出 MLS 是 可 传递 的 ,而 MDS 是 不 可 传递 的 ,并 给 出 了 形式 化 的 
非 传递 性 无 干扰 模型 ,防止 无 干扰 策略 过 于 严格 。 所 以 ,通道 控制 (channel-control) 和 
TE(Type Enforcement) 等 策略 的 形式 化 规范 可 以 采用 非 传 递 性 无 干扰 安全 策略 。 
LOCK 系统 也 正 是 采用 了 这 种 无 干扰 理论 实际 分 析出 了 系统 中 存在 的 隐蔽 通道 。 


48 本 章 小 结 


安全 模型 ,特别 是 形式 化 安全 模型 ,是 对 安全 策略 所 表达 的 安全 需求 的 简单 .抽象 和 
无 歧义 的 描述 ,建立 安全 模型 是 建立 安全 操作 系统 的 一 个 基本 要 求 。 在 本 章 中 首先 介绍 
了 安全 模型 的 作用 和 特点 以 及 进行 形式 化 模型 设计 方面 的 一 些 内 容 , 然 后 对 作为 形式 化 
安全 模型 的 状态 机 原理 做 了 一 些 说 明 , 最 后 在 此 基础 上 比较 详细 地 介绍 了 在 多 级 安全 系 
统 中 应 用 最 为 广泛 的 BLP 机 密 性 安全 模型 ;第 一 个 完整 性 模型 一 一 Biba 完整 性 安全 模 
型 ;被 认为 是 完整 性 模型 里 程 碑 的 Clark-Wilson 完整 性 安全 模型 ;在 商业 安全 领域 中 处 
以 很 高 地 位 的 中 国 墙 安全 策略 ;近年 来 得 到 业界 和 学 术 界 推崇 的 RBAC 模型 和 DTE 安 
全 模型 ,主要 用 于 隐 通 道 分 析 的 信息 流 安全 模型 和 无 干扰 安全 模型 。 


4.9 习题 


1. 何谓 系统 安全 需求 ,安全 策略 以 及 安全 模型 ? 试 述 它们 三 者 之 间 的 关系 。 

2. 为 什么 在 高 等 级 安全 操作 系统 中 强调 使 用 形式 化 的 安全 模型 ? 一 个 形式 化 安全 
模型 的 设计 步骤 是 什么 ? 

3. 什么 是 状态 机 模型 ? 为 什么 状态 机 模型 在 安全 模型 中 得 到 了 成 功 的 应 用 ,而 没有 
在 软件 开发 中 得 到 广泛 推广 ? 

4. 简 述 BLP 安全 模型 , 谈 谈 已 有 的 一 些 对 BLP 安全 模型 的 看 法 。 

5. 简 述 Biba 和 Clark-Wilson 这 两 种 完整 性 模型 ,比较 它们 之 间 的 优 缺 点 。 

6. 简 述 BN 中 国 墙 模型 与 侵略 型 中 国 墙 模型 设计 思想 ,比较 它们 在 冲突 类 定义 上 的 
区 别 。 

7. RBAC 存 取 控制 机 制 的 要 点 是 什么 ? 试 述 RBAC 存 取 控制 机 制 的 主要 类 型 和 各 
自 的 特点 。 

8. 试 述 信 息 流 模 型 结构 和 隐 通 道 分 析 之 间 的 关系 。 

9. 试 述 无 干扰 模型 主要 思想 及 其 用 途 。 
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第 5 音 
”安全 体系 结构 


随 着 计算 机 系统 的 广泛 应 用 ,特别 是 在 金融 ,政府 及 军事 等 重要 部 门 的 应 用 ,人 们 越 
来 越 关注 计算 机 系统 的 安全 问题 。 通 过 对 入 侵 测试 (penetration testing) 技 术 和 老虎 队 
分 析 (tiger team analysis) 方 法 研究 的 不 断 深入 和 逐渐 广泛 的 使 用 ,使 潜藏 在 目前 计算 机 
系统 中 的 大 量 安全 问题 逐渐 暴露 出 来 ,这 些 问 题 将 会 在 专门 章节 中 介绍 。 这 其 中 有 些 问 
题 可 以 在 现 有 系统 上 通过 打 补丁 的 方式 来 排除 ,而 有 的 是 无 法 在 原 有 系统 上 进行 补救 的 ， 
只 有 重新 改造 系统 ,甚至 于 重新 设计 系统 才能 有 效 解 决 。 

造成 这 种 情况 的 原因 是 多 方面 的 ,但 其 中 的 两 方面 最 值得 注意 ,一 方面 是 由 于 旧 系 统 
有 了 新 的 应 用 ; 另 一 方面 是 系统 设计 时 考虑 得 不 充分 。 前 者 是 人 力 无 法 预测 的 ,因此 一 个 
系统 有 了 新 应 用 时 必须 慎之 又 慎 , 要 求 使 用 “善意 黑客 (ethical hacking) ”方式 多 角度 分 
析 ; 后 者 则 是 系统 缺乏 有 效 的 系统 安全 体系 结构 所 致 ,这 好 比 建 一 幢 大 楼 ,如 果 建 筑 师 在 
结构 上 不 考虑 防震 ,那么 并 不 很 强 的 地 震 也 有 可 能 造成 大 楼 的 雪 塌 。 本 章 的 主题 就 是 讨 
论 构 建安 全 操作 系统 时 的 安全 体系 结构 , 先 描述 安全 体系 结构 的 含义 ;之 后 给 出 构造 安全 
操作 系统 的 安全 体系 结构 的 基本 原理 ;最 后 叙述 几 个 比较 有 影响 的 安全 体系 。 

“老虎 队 ” 和 “善意 黑客 ”主要 是 企业 为 了 解决 互联 网 上 日 益 严 重 的 安全 问题 ,逐渐 意 
识 到 用 来 评估 对 他 们 利益 的 入 侵 威胁 的 最 好 方法 之 一 是 利用 独立 计算 机 安全 专业 人 员 来 
试图 攻破 他 们 的 计算 机 系统 ,这 种 方案 和 一 个 组 织 中 使 用 一 个 独立 的 审计 员 来 验证 他 们 
的 账簿 记录 相似 。 在 计算 机 安全 中 ,这 些 “ 老 虎 队 ”或 者 “道德 黑客 ”将 使 用 和 入 侵 者 同样 
的 工具 和 技术 ,但 是 他 们 既 不 破坏 目标 系统 ,也 不 窃取 信息 ,而 是 通过 评估 目标 系统 的 安 
全 性 ,给 系统 所 有 者 报告 他 们 所 发 现 的 脆弱 性 ,并且 建 议 如何 去 补救 这 些 漏洞 。 


5.1 ”安全 体系 结构 概念 


建立 一 个 计算 机 系统 往往 需要 满足 许多 要 求 , 如 安全 性 要 求 .性 能 要 求 . 可 扩展 性 要 
求 、 容 量 要 求 . 使 用 的 方便 性 要 求 和 成 本 要 求 等 ,这 些 要 求 往往 是 有 冲突 的 ,为 了 把 它们 协 
调 地 纳入 到 一 个 系统 中 并 有 效 实现 ,对 所 有 的 要 求 都 予以 最 大 可 能 满足 通常 是 很 困难 的 ， 
有 时 也 是 不 可 能 的 。 因 此 系统 对 各 种 要 求 的 满足 程度 必须 在 各 种 要 求 之 间 进 行 全 局 性 地 
折 中 考虑 ,并 通过 恰当 的 实现 方式 表达 出 这 些 考 虑 ,使 系统 在 实现 时 各 项 要 求 有 轻重 之 
分 。 这 就 是 体系 结构 要 完成 的 主要 任务 。 


511 安全 体系 结构 含义 
所 谓 一 个 计算 机 系统 (特别 是 安全 操作 系统 ) 的 安全 体系 结构 , 它 主要 包含 如 下 几 方 
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面 的 内 容 : 

(1) 详细 描述 系统 中 安全 相关 的 所 有 方面 。 这 包括 系统 可 能 提供 的 所 有 安全 服务 及 
保护 系统 自身 安全 的 所 有 安全 措施 ,描述 方式 可 以 用 自然 语言 ,也 可 以 用 形式 语言 。 

(2) 在 一 定 的 抽象 层次 上 描述 各 个 安全 相关 模块 之 间 的 关系 。 这 可 以 用 逻辑 框图 来 
表达 ,主要 用 于 在 抽象 层次 上 按 满足 安全 需求 的 方式 来 描述 系统 关键 元 素 之 间 的 关系 。 

(3) 提出 指导 设计 的 基本 原理 。 根 据 系 统 设计 的 要 求 及 工程 设计 的 理论 和 方法 , 明 
确 系 统 设计 的 各 方面 的 基本 原则 。 

(4) 提出 开发 过 程 的 基本 框架 及 对 应 于 该 框架 体系 的 层次 结构 , 它 描 述 确保 系统 忠 
实 于 安全 需求 的 整个 开发 过 程 的 所 有 方面 。 为 达到 此 目的 ,安全 体系 总 是 按 一 定 的 层次 
结构 进行 描述 ,一 般 包 括 : 

@ 系统 开发 的 概念 化 阶段 。 它 是 安全 概念 的 最 高 抽象 层次 的 处 理 , 如 系统 安全 策 
略 、 要 求 的 保障 程度 (保障 级 别 )、 系 统 安全 要 求 对 开发 过 程 的 影响 及 总 体 的 指导 原则 。 

@ 系统 开发 的 功能 化 阶段 。 当 系统 体系 已 经 比较 确定 时 ,安全 体系 必须 进一步 细 化 
来 反映 系统 的 结构 。 

安全 体系 结构 在 整个 开发 过 程 中 必须 扮演 指导 者 的 角色 ,所 以 应 该 确立 它 的 中 心地 
位 。 要 求 所 有 开发 者 在 开发 前 对 安全 体系 结构 必须 达成 共识 ,并 在 开发 过 程 中 自觉 服从 
于 安全 体系 结构 ,从 而 达到 在 它 的 指导 下 协同 工作 的 目的 。 即 使 在 工程 的 实现 阶段 ,编程 
人 员 也 必须 在 一 些 来 自体 系 结构 、 编 程 标准 、 编 码 审 查 及 测试 的 指导 原则 下 进行 工作 ,这 
就 要 求 安全 体系 结构 只 能 是 一 个 概要 设计 ,而 不 能 是 系统 功能 的 描述 。 另 外 ,安全 体系 结 
构 不 应 当 限 制 不 影响 安全 的 设计 方法 ,也 就 是 说 安全 体系 结构 应 该 有 模块 化 的 特性 。 

为 了 获得 有 效 的 测评 认证 ,开发 安全 操作 系统 时 必须 充分 参考 美国 国防 部 的 “可 信 计 
算 机 系统 评测 准则 ”( 简 记 为 TCSEC) 及 “信息 技术 安全 性 评估 准则 ”( 简 记 为 CC)。 在 
TCSEC 中 虽然 没有 直接 给 出 安全 体系 结构 这 个 名 词 的 定义 ,但 对 系统 的 体系 结构 和 系统 
设计 的 文档 资料 提出 了 定性 的 要 求 , 而 且 给 出 了 顶层 规范 的 定义 。 从 定义 可 以 看 出 , 它 是 
此 处 定义 的 安全 体系 结构 的 功能 部 分 的 细 化 。 在 CC 中 也 没有 对 安全 体系 结构 进行 界 
定 , 而 是 把 这 个 复杂 的 概念 融 进 CC 标准 庞大 的 结构 体系 中 。 


512 安全 体系 结构 类 型 


在 美国 国防 部 的 “目标 安全 体系 (DoD Goal Security Architecture)” 中 ,把 安全 体系 
划分 为 以 下 四 种 类 型 。 

1. 抽象 体系 (abstract architecture) 

抽象 体系 从 描述 需求 开始 ,定义 执行 这 些 需 求 的 功能 函数 。 之 后 定义 指导 如 何 选用 
这 些 功 能 函数 及 如 何 把 这 些 功能 有 机 组 织 成 为 一 个 整体 的 原理 及 相关 的 基本 概念 。 在 这 
个 层次 的 安全 体系 就 是 描述 安全 需求 ,定义 安全 功能 及 它们 提供 的 安全 服务 ,确定 系统 实 
现 安全 的 指导 原则 及 基本 概念 。 

2 通用 体系 (generic architecture) 


通用 体系 的 开发 是 基于 抽象 体系 的 决策 来 进行 的 。 它 定义 了 系统 分 量 的 通用 类 型 
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(general type) 及 使 用 相关 行业 标准 的 情况 , 它 也 明确 规定 系统 应 用 中 必要 的 指导 原则 。 
通用 安全 体系 是 在 已 有 的 安全 功能 和 相关 安全 服务 配置 的 基础 上 ,定义 系统 分 量 类 型 及 
可 得 到 的 实现 这 些 安 全 功能 的 有 关 安 全 机 制 。 在 把 分 量 与 机 制 进行 组 合 时 因 不 兼容 性 而 
导致 的 局 限 性 ,或 安全 强度 的 退化 必须 在 系统 的 应 用 指导 中 明确 说 明 。 


3. 逻辑 体系 (logcd architecture) 

逻辑 体系 就 是 满足 某 个 假设 的 需求 集合 的 一 个 设计 , 它 显示 了 把 一 个 通用 体系 应 用 
于 具体 环境 时 的 基本 情况 。 人 逻辑 体系 与 下 面 将 描述 的 特殊 体系 仅 有 的 不 同 之 处 在 于 : 特 
殊 体系 是 使 用 系统 的 实际 体系 ,而 逻辑 体系 是 假想 的 体系 ,是 为 理解 或 者 其 他 目的 而 提出 
的 。 因 为 逻辑 体系 不 是 以 实现 为 意图 的 ,因此 无 须 实施 开销 分 析 。 在 逻辑 安全 体系 中 ,他 
辑 设 计 过 程 往往 伴随 着 对 特殊 体系 中 实现 的 安全 分 析 的 解释 。 


4 特殊 体系 (gqpecific architecture) 

特殊 安全 体系 要 表达 系统 分 量 .接口 ,标准 .性 能 和 开销 , 它 表 明 如 何 把 所 有 被 选择 的 
信息 安全 分 量 和 机 制 结合 起 来 以 满足 我 们 正在 考虑 的 特殊 系统 的 安全 需求 。 这 里 信息 安 
全 分 量 和 机 制 包括 基本 原则 及 支持 安全 管理 的 分 量 等 。 

上 面 从 内 涵 、 结 构 和 作用 方面 描述 了 安全 体系 结构 , 接 下 来 描述 计算 机 系统 的 安全 体 
系 结构 设计 的 基本 原则 。 
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面 对 一 个 复杂 计算 机 系统 的 设计 ,如 何 才能 提出 一 个 好 的 安全 体系 结构 ,使 系统 很 好 
地 满足 系统 设计 时 提出 的 各 种 要 求 。 人 们 经 过 大 量 的 实践 ,在 总 结 经 验 、 分 析 原型 系统 开 
发 中 失败 原因 的 基础 上 ,提出 了 在 安全 体系 结构 设计 中 应 该 遵守 的 基本 原则 。 


1. 从 系统 设计 之 初 就 考虑 安全 性 
在 不 少 系统 的 设计 中 开发 者 的 开发 思想 都 是 : 先 把 系统 建成 ,再 考虑 安全 问题 。 其 
结果 是 有 关 安 全 的 实现 无 法 很 好 地 集成 到 系统 中 ,为 了 获得 所 必需 的 安全 性 ,不 得 不 付出 
巨大 的 代价 。 例 如 在 Linux 设计 之 初 ,并 未 考虑 各 种 安全 问题 ,特别 是 只 有 通过 密码 技术 
才能 有 效 解决 的 安全 问题 ,为 了 解决 这 些 问 题 人 们 或 是 改进 内 核 ,或 建立 专门 的 系统 ,前 
者 要 求人 们 重新 开发 各 种 应 用 软件 ,而 后 者 更 是 需要 人 们 花费 大 量 的 人 力 、 物 力 建立 并 维 
护 新 系统 。 之 所 以 会 出 现 这 样 的 情况 ,是 因为 设计 一 个 系统 时 可 以 达到 系统 要 求 的 方法 
是 多 种 多 样 的 ,有 的 对 安全 有 利 , 有 的 则 对 安全 不 利 ,在 这 种 情况 下 如 果 没 有 一 个 安全 体 
系 结构 来 指导 系统 设计 的 早期 决策 ,就 完全 有 可 能 选择 了 有 致命 安全 缺陷 的 设计 思路 ,从 
而 只 能 采取 在 系统 设计 完成 后 再 添加 安全 功能 的 补救 手段 ,但 此 时 必须 付出 比 选择 其 他 
方案 要 多 很 多 倍 的 代价 才能 获得 相应 的 安全 特性 和 保证 。 而 且 正 如 经 验 丰 富 的 系统 设计 
专家 M. Gasser 所 指出 的 : 已 有 的 大 系统 开发 实践 经 验 表明 ,除非 在 系统 设计 的 早期 考 
虑 了 安全 对 系统 的 影响 ,和 否则 最 后 设计 出 来 的 系统 很 少 会 获得 有 意义 的 安全 性 。 因 此 在 
考虑 系统 体系 结构 的 同时 就 应 该 考虑 相应 的 安全 体系 结构 。 
2 应 尽量 考虑 未 来 可 能 面临 的 安全 需求 
安全 体系 结构 除了 充分 考虑 当前 的 安全 需求 外 还 应 着 眼 于 未 来 ,考虑 一 些 没 有 计划 
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要 直接 使 用 的 潜在 的 安全 属性 ,由 于 设计 时 已 经 纳入 了 这 些 “ 预 设 的 "安全 问题 ,这 样 一 
来 , 当 未 来 系统 要 实施 安全 增强 时 ,其 开销 显然 很 小 ,而 且 开 发 时 由 于 预 留 了 接口 而 带 来 
很 大 方便 。 即 使 预 留 的 安全 特性 在 系统 的 后 续 开 发 中 从 未 用 过 ,但 系统 因 预 留 了 接口 而 
造成 的 损失 往往 也 是 很 小 的 。 

系统 要 实施 安全 增强 包括 两 方面 的 问题 : 第 一 ,改进 系统 原 有 的 安全 性 。 但 随 着 技 
术 的 进步 ,人 们 对 系统 的 安全 参数 及 对 系统 进行 保护 的 技术 的 要 求 是 不 同 的 , 增 大 参数 及 
替换 使 用 原 有 技术 所 实现 的 相关 安全 部 件 就 成 了 改进 系统 安全 性 的 两 个 重要 的 常见 手 
段 。 第 二 ,给 系统 增加 新 的 安全 属性 。 经 验 表明 许多 系统 的 安全 性 是 无 法 进行 改进 的 ,其 
中 的 根本 原因 在 于 系统 的 功能 是 以 本 质地 依赖 于 系统 的 不 安全 属性 的 方式 来 定义 的 ,在 
这 种 情况 下 ,一 旦 改变 系统 这 些 属性 ,系统 就 不 再 按 我 们 希望 的 方式 工作 。 因 此 就 要 求 超 
前 考虑 安全 需求 。 

当 在 安全 体系 结构 的 设计 中 考虑 未 来 安全 需求 时 ,将 面临 这 样 的 问题 : 如 何 考虑 这 
些 “ 预 设 的 ”安全 问题 才 是 恰当 的 ? 对 这 个 问题 ,下 面 的 三 方面 是 应 该 注意 的 : 

首先 ,不 能 把 “ 预 设 的 ”安全 问题 定 得 太 特 殊 , 或 太 具 体 ;否则 ,会 损失 系统 的 灵活 性 。 

其 次 ,要 从 适当 的 抽象 层次 来 理解 安全 问题 ,也 就 是 说 要 从 问题 类 的 角度 来 理解 安全 
问题 ,而 不 是 针对 具体 的 问题 。 完 成 未 来 安全 需求 的 足够 细 化 的 分 析 是 该 设计 必须 包含 
的 部 分 。 

最 后 ,设计 计划 必须 特别 关注 安全 策略 的 定义 ,因为 安全 策略 的 改变 会 给 系统 带 来 灾 
难 性 的 影响 ,之 所 以 会 出 现 这 样 的 情况 ,是 因为 应 用 系统 与 这 些 策略 紧密 相关 ,在 旧 策 略 
下 运行 良好 的 应 用 系统 完全 有 可 能 在 新 策略 下 无 法 正常 工作 。 


3 隔离 安全 控制 ,并 使 其 极 小 化 

为 了 获得 高 可 信 的 安全 系统 ,设计 者 应 该 极 小 化 系统 内 部 设计 中 安全 相关 部 分 的 复 
杂 性 及 规模 尺度 ,也 就 是 说 应 尽量 优化 结构 ,使 其 复杂 性 尽 可 能 极 小 化 ,同时 还 应 该 尽量 
保障 各 相对 独立 功能 模块 在 程序 量 上 的 极 小 化 。 操 作 系统 的 巨大 规模 是 人 们 从 整体 上 难 
以 把 握 它 的 根本 原因 ,由 于 系统 规模 太 大 ,人 们 永远 也 无 法 彻底 排除 程序 错误 或 一 些 缺 
陷 , 这 就 意味 着 系统 总 存在 着 不 可 预测 的 行为 ,或 可 被 利用 的 缺陷 ,从 而 使 系统 产生 一 些 
难以 预料 的 后 果 , 因 此 构造 操作 系统 的 安全 系统 时 必须 限制 规模 ,避免 因 规模 巨大 而 导致 
的 上 述 种 种 弊端 。 除 此 之 外 ,在 体系 结构 设计 中 考虑 安全 控制 的 隔离 性 和 极 小 化 ,还 可 以 
确保 设计 者 在 向 系统 添加 新 的 ` 有 用 的 安全 属性 时 ,系统 的 可 靠 性 不 发 生 改变 。 

为 了 实现 安全 控制 的 隔离 性 和 极 小 化 ,在 设计 时 必须 注意 以 下 几 方面 : 

(1) 并 不 是 所 有 的 从 软件 工程 的 角度 看 有 效 的 设计 原则 都 很 好 地 适用 于 操作 系统 安 
全 部 分 的 设计 。M. Gasser 指出 ,机 制 的 经 济 性 (economy of mechanisms) 原 则 就 是 其 中 
的 一 个 例子 。 所 谓 机 制 的 经 济 性 是 指 , 系 统 应 尽 可 能 地 使 用 少量 不 同类 型 的 实施 机 制 ,这 
样 一 来 就 可 以 迫使 安全 行为 仅 在 很 少儿 个 隔离 的 系统 部 分 中 发 生 。 但 是 由 Saltzer 和 
Schroeder 提出 的 这 个 原则 在 安全 设计 中 难以 实施 的 根本 原因 在 于 : 其 一 ,安全 问题 是 与 
系统 的 多 个 不 同 的 功能 域 紧 密 相关 的 ,这 些 功 能 域 主要 包括 文件 系统 处 理 、 存 储 管理 、 进 
程控 制 . 输 入 输出 及 大 量 的 管理 功能 等 。 因 此 在 不 同 功能 域 中 几乎 相同 的 安全 问题 往往 
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需要 使 用 不 同 的 安全 机 制 ,才能 获得 好 的 安全 控制 。 其 二 ,相同 的 机 制 用 于 多 种 应 用 系统 
的 保护 通常 也 是 缺乏 灵活 性 的 。 最 后 , 当 在 旧 系 统 中 引入 新 的 .更 灵活 的 安全 机 制 时 , 它 
们 常常 与 现存 的 机 制 是 不 兼容 的 ,然而 现实 又 需要 它们 彼 兼 容 共 存 。 

(2) 尽管 机 制 的 经 济 性 目标 很 难 达到 ,但 是 系统 中 的 安全 相关 机 制 还 是 应 尽量 简洁 ， 
易于 确认 , 且 相 对 独立 ,这样 有 利于 实现 附加 的 控制 来 保护 它们 , 免 受 系统 其 他 部 分 出 铺 
时 带 来 的 危害 。 

(3) 数据 隔离 必须 适度 ,不 能 走 极 端 。 高 度 的 隔离 可 以 带 来 高 安全 ,但 也 导致 效率 的 
大 幅 下 降 , 因 此 安全 与 效率 往往 要 折 中 考虑 。 


4 实施 特权 极 小 化 

与 隔离 安全 机 制 紧密 相关 的 概念 就 是 最 小 特权 原理 ,该 原理 的 基本 点 是 : 无 论 在 系 
统 的 什么 部 分 ,只 要 是 执行 某 个 操作 ,执行 该 操作 的 进程 (主体 ) 除 能 获得 执行 该 操作 所 需 
的 特权 外 不 能 获得 其 他 特权 。 通 过 实施 最 小 特权 原理 ,可 以 限制 因 错 误 软件 或 恶意 软件 
造成 的 危害 。POSIX. le 中 的 分 析 表 明 ,要 想 在 获得 系统 安全 性 方面 达到 合理 的 保障 程 
度 ,在 系统 中 严格 地 实施 最 小 特权 机 制 是 必需 的 。 最 小 特权 原理 的 内 涵 是 简洁 的 ,但 是 其 
外 延 却 是 丰富 的 ,对 于 安全 操作 系统 的 构筑 , 它 主 要 包括 以 下 几 方 面 ; 

(1) 与 硬件 机 制 相关 的 最 小 特权 , 即 硬件 特权 。 当 处 理 器 不 是 以 特权 模式 或 特权 域 
的 方式 进行 操作 时 ,必须 限制 特殊 指令 的 使 用 ,而 且 限 制 对 某 些 存储 区 的 访问 ;这 就 是 最 
小 特权 原理 在 硬件 机 制 上 的 反映 。 

(2) 与 软件 相关 的 最 小 特权 , 即 软件 特权 。 它 是 由 操作 系统 指派 给 某 些 程序 的 特权 ， 
这 些 特权 允许 程序 超越 在 用 户 程序 上 实施 的 常规 访问 控制 ,或 者 调用 所 选择 的 系统 函数 。 
具有 多 种 类 型 软件 特权 的 系统 允许 在 最 小 特权 方面 实施 细 粒 度 的 控制 ,但 是 这 不 等 于 说 
特权 机 人 制 就 是 补充 缺乏 灵活 性 和 有 效 性 的 访问 控制 的 万 能 之 术 。 事 实 上 依赖 于 复杂 纷繁 
的 特权 来 完成 常规 的 系统 安全 相关 功能 的 系统 可 能 是 访问 控制 设计 很 糟 的 系统 。 

(3) 最 小 特权 的 实施 方法 。 要 求 系统 在 构造 时 必须 按 一 定 的 技术 进行 ,例如 模块 化 
编程 及 结构 化 设计 等 。 历 史 的 经 验 表明 ,分 层 体系 的 使 用 在 增加 安全 操作 系统 可 靠 性 方 
面 迈 出 了 很 大 的 一 步 。 

(4) 最 小 特权 总 是 包含 用 户 的 行为 及 系统 管理 者 的 行为 。 用 户 和 系统 管理 员 不 应 当 
获得 多 于 完成 它们 工作 需要 的 访问 。 管 理 功能 可 以 与 安全 无 关 , 也 可 与 安全 相关 ,但 它们 
都 是 特权 化 的 ,因为 这 些 功 能 的 恶意 使 用 可 以 危害 系统 。 


5 结构 化 安全 相关 功能 

系统 体系 应 该 可 以 比较 容易 地 确定 系统 安全 相关 的 方面 ,以 便 可 以 很 快 地 对 系统 的 
大 部 分 进行 检验 ,这 对 安全 系统 是 非常 重要 的 。 一 个 好 的 安全 体系 统 必须 是 : 安全 控制 
是 隔离 的 、 极 小 化 的 、 对 安全 相关 的 功能 有 一 个 清晰 的 且 易 于 规范 的 接口 。 

6 使 安全 相关 的 界面 友好 

在 设计 安全 机 制 时 ,遵循 如 下 的 原则 是 有 帮助 的 : 

(1) 安全 不 应 当 对 服从 安全 规则 的 用 户 造成 功能 影响 ; 

(2) 给 予 用 户 访问 应 该 是 容易 的 ; 
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(3) 限制 用 户 访问 应 该 是 容易 的 ; 

(4) 建立 合理 的 默认 规则 。 

7 不 要 让 安全 依赖 于 一 些 隐藏 的 东西 

系统 安全 体系 的 一 个 重要 目标 就 是 让 安全 避免 依赖 于 系统 安全 机 制 的 任何 部 分 的 保 
密 , 也 就 是 说 作出 如 下 的 假设 是 不 安全 的 : 用 户 不 能 突破 系统 ,是 因为 用 户 没有 用 户 手册 
或 软件 的 资源 列表 。 


52 ”权能 (capability) 体 系 


权能 体系 是 较 早 用 于 实现 安全 内 核 的 结构 体系 ,尽管 它 存在 一 些 不 足 ,但 是 作为 实现 
访问 控制 的 一 种 通用 的 、 可 塑性 良好 的 方法 ,目前 仍然 是 人 们 实现 安全 比较 偏爱 的 方法 之 
一 。 权 能 体系 的 最 大 优点 就 是 : 
。 权能 为 访问 客体 和 保护 客体 提供 了 一 个 统一 的 ,不 可 旁 过 (noncircumventable) 的 
方法 ,权能 的 应 用 对 统筹 设计 及 简化 证 明 过程 有 重要 的 影响 。 
。 权能 与 层次 设计 方法 是 非常 协调 的 ,从 权能 机 人 制 很 自然 可 导致 使 用 扩展 型 对 象 来 
提供 抽象 和 保护 的 层次 。 尽 管 对 权能 提供 的 保护 及 权能 的 创建 是 集中 式 的 ,但 是 
由 权能 实现 的 保护 是 可 适当 分 配 的 ,也 就 是 说 ,权能 具有 传递 能 力 。 这 样 一 来 , 权 
能 促进 了 机 制 与 策略 的 分 离 。 
1976 年 ,Linden 在 他 的 著名 报告 “支持 安全 和 可 靠 软 件 的 操作 系统 结构 ”(operating 
system structures to support security and reliable software) 里 , 总 结 分 析 了 权能 体系 。 
本 节 就 以 他 的 工作 为 基础 来 叙述 权能 体系 。 


521 权能 的 一 般 概 念 


一 般 而 言 , 权 能 可 以 看 成 是 对 象 (或 客体 ) 的 保护 名 。 不 同 的 系统 使 用 权能 的 方法 可 
能 差异 极 大 ,但 是 权能 都 具有 如 下 的 性 质 : 
。 权能 是 客体 在 系统 范围 使 用 的 名 字 , 也 就 是 说 它 在 整个 系统 中 都 是 有 效 的 ,而 且 
在 整个 系统 范围 内 是 唯一 的 。 一 个 主体 只 有 在 具有 客体 所 具有 的 权能 的 前 提 下 
才能 访问 该 客体 。 
。 权能 必须 包含 一 部 分 用 以 决定 该 权能 允许 的 对 以 它 命名 的 客体 的 访问 权 , 也 就 是 
说 ,这 部 分 权能 决定 了 对 该 客体 进行 访问 必需 的 权利 。 
。 权能 只 能 由 系统 特殊 的 底层 部 分 来 创建 ,而 且 除 了 约 减 访问 权 外 ,权能 不 允许 修 
改 。 拥 有 某 个 权能 的 主体 有 权 把 它 作 为 参数 移动 .拷贝 或 传递 它 。 
权能 一 般 由 以 下 几 部 分 组 成 : 用 于 标识 客体 的 标识 符 、 定 义 客 体 类 型 的 域 及 定义 访 
问 权 的 域 。 当 一 个 客体 被 创建 时 ,该 客体 的 权能 也 随 之 创建 ,客体 的 初始 权能 包含 所 有 对 
该 客体 的 访问 权 , 客 体 的 创建 主体 可 以 拷贝 该 客体 的 权能 给 其 他 主体 ,一 个 权能 拷贝 的 接 
收 主体 可 以 使 用 它 来 访问 相应 的 客体 ,或 者 产生 新 的 拷贝 传 给 其 他 主体 。 当 一 个 权能 
传递 给 另 一 个 主体 时 ,权能 的 访问 权 可 以 被 限制 ,这 样 一 来 ,权能 的 每 次 拷贝 都 有 可 能 产 
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生 对 客体 的 不 同 的 访问 权 。 传 递 给 另 一 个 主体 的 权能 的 访问 权 不 能 大 于 对 该 权能 拷贝 所 
获得 的 访问 权 。 


522 对 权能 的 控制 及 实现 方法 


为 了 阻止 用 户 通过 创建 权能 来 获得 非 授 权 的 访问 权 , 对 权能 进行 控制 是 必需 的 。 获 
取 这 种 控制 的 方法 有 两 种 : 第 一 种 方法 是 一 直 让 权能 存储 在 特殊 的 位 置 上 ,例如 ,权能 段 
和 权能 寄存 器 ;第 二 种 方法 是 在 每 个 存储 字 后 加 上 一 个 额外 的 标签 比特 , 它 必 须 是 用 户 不 
能 访问 的 。 这 个 标签 比特 确定 了 这 个 字 是 否 包含 一 个 权能 ,接着 硬件 按 权能 确定 的 方式 
修改 这 个 字 。 其 中 第 二 种 方法 避 开 了 对 权能 如 何 存储 移动 及 拷贝 的 各 种 严格 限制 ,因为 
标识 符 可 以 是 指向 客体 的 指针 , 它 可 以 包含 客体 的 地 址 和 地 址 上 界 ,或 者 它 可 以 通过 间接 
表 或 页 表 间 接地 指向 客体 ;标识 符 也 可 以 是 长 期 与 客体 共存 的 唯一 的 编码 ,这 一 般 叫 做 唯 
一 标识 符 。 


523 权能 系统 的 局 限 性 


用 单个 操作 系统 机 制 来 支持 广泛 的 安全 策略 不 是 一 个 新 的 方法 。20 世纪 70 年 代 开 
发 的 Hydra 系统 在 它 的 安全 策略 定义 中 分 离 了 访问 控制 机 制 。Hydra 是 一 个 基于 权能 
的 系统 ,虽然 系统 开发 者 意识 到 单个 功能 模块 的 限制 ,并 在 基本 权能 机 制 上 引入 多 种 加 
强 。 这 种 Hydra 方法 甚至 在 以 后 的 KeyKOS 和 EROS 系统 中 被 采用 。 虽 然 流 行 , 但 是 基 
于 权能 的 机 制 不 能 很 好 地 适合 提供 策略 可 变通 性 ,因为 它们 允许 权能 的 持 有 者 控制 这 种 
权能 的 直接 遗传 ,然而 支持 安全 策略 的 重要 要 求 是 控制 协调 于 策略 的 访问 权 遗 传 的 能 力 。 
Hydra 和 KeyKOS 引入 的 加 强 试图 限制 这 种 遗传 ,但 是 产生 的 系统 通常 仍然 只 能 支持 它 
设计 时 要 满足 的 特定 策略 ,而 且 付 出 明显 的 复杂 性 代价 ,这 种 代价 使 得 最 初 的 权能 模式 减 
少 了 它 的 吸引 力 。 

主要 出 于 在 一 个 基于 权能 系统 中 解决 支持 多 层 安 全 策略 的 兴趣 ,一 些 基 于 权能 的 系 
统 (例如 ,SCAP、ICAP Trusted Mach) 引 入 使 每 一 个 遗传 或 者 与 安全 策略 相悖 的 权能 应 
用 生效 的 机 制 。Kain 和 Landwehr 开发 了 一 个 分 类 法 来 刻画 这 些 系统 。 在 这 些 系 统 中 ， 
权能 机 制 的 简单 性 被 保留 了 ,但 是 权能 仅 服务 于 最 小 特权 机 制 ,而 不 是 为 记录 和 遗传 安全 
策略 的 机 制 。 这 是 权能 的 一 个 潜在 的 有 效 利 用 。 然 而 ,这 些 系统 的 设计 没有 定义 安全 策 
略 能 用 于 查询 的 机 制 , 通 过 查询 而 使 权能 生效 ,这 些 机 制 在 提供 策略 可 变通 性 上 是 重要 
的 。Flask 体系 能 被 用 来 提供 需要 使 权能 生效 的 安全 决策 。 在 Flask 原型 中 ,体系 正 是 这 
样 使 用 的 。 


局 习 Flask 体系 


531 背景 介绍 


通过 Internet 联结 的 显著 增长 使 得 计算 机 安全 成 了 一 个 极为 重要 的 环节 ,但 是 没有 
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一 个 安全 的 定义 能 够 适应 这 种 状况 。Internet 联结 的 一 个 主要 特征 是 异 质 互 连 , 意 味 着 
在 Internet 中 普遍 存在 着 不 同 的 计算 环境 以 及 运行 在 上 面 的 应 用 ,它们 往往 有 着 不 同 的 
安全 需求 。 另 一 方面 任何 安全 概念 都 是 被 一 个 安全 策略 限制 着 ,所 以 就 存在 着 许多 不 同 
的 安全 策略 甚至 许多 不 同类 型 的 策略 。 为 了 获得 大 范围 的 使 用 ,安全 方案 必须 是 可 变通 
的 ,足以 支持 大 范围 的 安全 策略 。 在 今天 的 分 布 式 环境 中 ,这 种 安全 策略 的 可 变通 性 通常 
由 操作 系统 的 安全 机 制 来 支持 。 

支持 策略 可 变通 性 在 操作 系统 中 是 件 比 较 环 手 的 事情 ,其 困难 程度 往往 要 超过 对 多 
策略 的 支持 。 这 种 可 变通 性 要 求 这 种 系统 必须 支持 对 底层 客体 的 精细 的 访问 控制 ,以 便 
执行 安全 策略 控制 的 高 层 功能 。 同 时 ,系统 必须 确保 访问 权限 的 增长 和 安全 策略 保持 一 
致 。 最 后 ,策略 在 通常 情况 下 不 是 固定 不 变 的 。 为 了 解决 策略 的 变化 和 支持 动态 策略 , 系 
统 必 须 有 一 种 机 制 来 撤销 以 前 授予 的 访问 权限 。 早 期 的 系统 能 够 提供 支持 多 安全 策略 的 
机 制 ,但 是 由 于 它们 不 能 满足 上 述 三 个 要 求 中 的 任何 一 个 ,因而 通常 对 策略 可 变通 性 的 支 
持 是 不 足 的 。 

Flask 体系 结构 使 策略 可 变通 性 的 实现 成 为 可 能 。 通 过 对 Flask 体系 的 微 内 核 操 作 
系统 的 原型 实验 表明 , 它 成 功 地 克服 了 策略 可 变通 性 带 来 的 障碍 。 这 种 安全 结构 中 机 制 
和 策略 的 清晰 区 分 ,使 得 系统 可 以 使 用 比 以 前 更 少 的 策略 来 支持 更 多 的 安全 策略 集合 。 
Flask 包括 一 个 安全 策略 服务 器 来 制定 访问 控制 决策 ,一 个 微 内 核 和 系统 其 他 客体 管理 
右 框 架 来 执行 访问 控制 决策 。 虽然 原型 系统 是 基于 微 内 核 的 ,但 是 安全 机 制 并 不 依赖 微 
内 核 结构 ,意味 着 这 个 安全 机 制 在 非 内 核 的 情况 下 也 能 很 容易 地 实现 。 

由 此 产生 的 系统 提供 了 策略 的 可 变通 性 ,也 支持 策略 的 广泛 多 样 性 。 通 过 确保 安全 
策略 已 经 考虑 了 每 个 访问 决策 来 控制 访问 权限 的 增长 。 由 直接 集成 到 系统 的 服务 来 提供 
组 件 的 执行 机 制 , 支 持 精细 访问 控制 和 允许 对 以 前 授予 访问 权限 的 撤回 的 动态 策略 。 此 
外 ,有 原始 的 性 能 结论 和 对 编码 变化 的 数量 和 扩散 统计 显示 ,系统 安全 策略 的 可 变通 的 影 
响 能 被 保持 到 最 小 。 

Flask 系统 的 安全 结构 来 源 于 之 前 的 DTOS 系统 原型 ( 它 有 相似 的 目标 )。 但 是 , 尽 
管 DTOS 安全 机 制 在 许多 特定 的 安全 策略 中 是 独立 的 ,它们 并 不 是 丰富 到 足以 支持 许多 
策略 ,特别 是 动态 安全 策略 的 程度 。 

在 最 高 层 的 抽象 中 ,Flask 可 变通 性 安全 模式 与 访问 控制 通用 框架 (GFAC) 是 一 致 
的 。 然 而 GFAC 模式 假定 系统 所 有 的 控制 操作 是 由 同样 的 策略 考虑 的 原子 操作 来 执行 
的 ,在 实际 系统 中 非常 难以 达到 ,这 也 是 Flask 系统 必须 克服 的 主要 障碍 。 

吊销 问题 在 操作 系统 设计 中 并 不 是 一 个 新 问题 ,但 它 很 少 受到 重视 。Moultics 通过 验 
证 段 描述 符 有 效 地 提供 对 内 存 许可 权 的 快速 回收 。 虽 然 都 没有 真正 实现 ,但 Redell 和 
Fabry, Karger 和 Gong 都 描述 了 各 自 不 同 的 撤销 以 前 授予 功能 的 方法 。Spring 实现 了 
一 个 权能 吊销 技术 ,不 过 仅仅 是 权能 被 撤销 ,迁移 许可 权 却 没有 被 撤销 。 内 存 许可 权 的 撤 
销 通 常 由 基于 微 内 核 的 系统 来 提供 ,同时 还 需要 外 部 页 面 调度 的 支持 ,如 Mach, 但 是 撤 
销 不 能 被 扩展 到 其 他 许可 权 。DTOS 中 的 安全 服务 器 能 够 取消 以 前 授予 的 许可 权 , 并 将 
其 保存 在 微 内 核 的 许可 权 缓存 中 。 然 而 它 只 采用 像 Mach 的 内 存 许可 权 机 制 , 并 不 能 提 
供 对 迁移 许可 权 的 撤销 。 
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Flask 原型 由 一 个 基于 微 内 核 的 操作 系统 来 实现 ,支持 硬件 强行 对 进程 地 址 空间 的 
分 离 。 但 也 有 一 些 最 近 的 努力 已 经 展示 了 软件 强行 进程 分 离 的 效果 。 对 Flask 结构 而 
言 , 这 种 区 别 本 质 上 是 不 相关 的 。 它 认为 所 提供 的 进程 分 离 的 形式 才 是 主要 的 ,但 Flask 
结构 并 没有 强制 要 某 一 种 机 制 。Flask 结构 为 达到 其 他 系统 常见 的 可 适应 性 ,将 采用 
DTOS 结构 在 SPIN 中 的 安全 框架 。 进 一 步 来 讲 ,Flask 结构 也 可 以 适用 于 除 操作 系统 之 
外 的 其 他 软件 ,例如 中 间 件 或 分 布 式 系统 ,但 此 时 由 底层 操作 系统 的 不 安全 性 所 导致 的 脆 
弱 性 仍然 被 保留 。 


532 策略 可 变通 性 分 析 


当 最 初试 图 定义 安全 策略 的 可 变通 性 时 , 常 给 出 所 有 知道 的 安全 策略 的 列表 并 通过 
这 个 列表 来 定义 可 变通 性 。 这 样 虽然 保证 了 定义 可 以 反映 现实 世界 看 法 的 可 变通 程度 。 
遗憾 的 是 ,这 种 简单 的 定义 是 不 现实 的 。 因 为 现实 世界 中 计算 机 系统 的 安全 策略 被 目前 
这 种 系统 提供 的 机 制 所 限制 ,导致 在 怎样 把 现实 中 笔 和 纸 反 映 的 安全 策略 转换 到 计算 机 
系统 中 并 不 总 是 很 清晰 的 ,所 以 就 需要 一 个 更 好 的 定义 。 

将 计算 机 系统 抽象 成 一 个 状态 机 ,执行 原子 操作 完成 从 一 个 状态 到 另 一 个 状态 的 转 
换 , 对 定义 安全 策略 的 可 变通 性 会 很 有 用 。 在 这 种 模式 下 ,如果 安 全 策略 能 被 原子 地 插 人 
到 系统 的 操作 执行 中 ,一 个 系统 可 以 被 考虑 成 提供 整个 安全 策略 的 可 变通 性 ,例如 允许 操 
作 的 运行 ,操作 的 拒绝 ,甚至 引起 系统 自身 的 操作 。 在 这 样 的 系统 中 ,如 果 当 前 系统 状态 
包括 系统 的 历史 , 则 安全 策略 可 以 利用 对 当前 系统 状态 的 全 部 的 认 知 来 做 出 决策 。 因 为 
插入 所 有 访问 请 求 是 可 能 的 ,所 以 修改 现存 的 安全 策略 和 撤销 任何 以 前 授予 的 许可 权 也 
是 可 能 的 。 

以 上 定义 更 准确 地 抓 住 了 策略 可 变通 性 的 根本 ,但 是 出 于 实际 的 考虑 产生 了 一 个 稍 
微 受 限 的 观点 。 在 一 个 现实 系统 中 ,基于 针对 所 有 当前 系统 状态 的 所 有 可 能 操作 的 安全 
策略 决策 是 不 可 能 的 。 相 反 一 个 更 现实 的 方法 是 区 分 那些 潜在 的 与 安全 相关 的 系统 状态 
部 分 ,并 控制 影响 这 部 分 状态 和 被 它 所 影响 的 控制 操作 。 这 个 系统 的 可 变通 程度 自然 依 
赖 于 控制 操作 集合 和 与 安全 策略 相关 的 目前 系统 部 分 状态 的 完整 性 。 此 外 ,控制 操作 的 
粒度 会 影响 可 变通 程度 ,因为 它 能 影响 共享 受 控 粒 度 。 

这 种 策略 可 变通 性 的 描述 在 三 个 方面 受 限制 : 它 允 许 一 些 操作 在 安全 策略 的 控制 外 
执行 , 它 严格 限制 可 能 由 安全 策略 引发 的 操作 , 它 允许 一 些 安全 策略 范围 以 外 的 系统 状态 
存在 。 实 际 上 ,这 些 显 式 的 限制 中 每 一 个 都 是 必要 的 特性 ,因为 许多 内 部 操作 和 系统 状态 
对 任何 安全 策略 没有 明显 的 用 途 和 关联 。 

一 个 策略 可 变通 的 系统 必须 能 够 支持 广泛 多 样 的 安全 策略 。 安 全 策略 可 以 根据 一 些 
明确 的 特性 来 分 类 。 这 些 特性 包括 对 撤销 以 前 授予 访问 权限 的 需求 ,做 访问 决策 所 需 的 
输入 类 型 .策略 决策 对 诸如 历史 和 环境 等 外 部 因素 的 敏感 性 以 及 访问 决策 的 传递 性 等 。 
支持 策略 撤销 是 这 些 支持 特性 中 最 困难 的 。 

即使 最 简单 的 安全 策略 也 面临 改变 (例如 用 户 授权 的 改变 ) ,一 个 策略 可 变通 的 系统 
必须 能 支持 策略 改变 。 因 为 策略 变化 可 能 和 控制 操作 的 执行 产生 交叉 ,系统 会 面临 根据 
废弃 的 策略 执行 访问 权限 的 危险 ,所 以 在 策略 改变 和 控制 操作 的 交叉 使 用 时 必须 保持 原 
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取得 这 种 原子 性 一 个 基本 困难 是 确保 以 前 授予 的 许可 权能 随 策 略 的 改变 而 撤销 , 系 
统 必 须 确保 这 项 许可 权 控 制 的 任何 服务 都 不 再 提供 ,除非 许可 权 在 后 来 再 次 被 授予 。 撤 
销 是 一 个 非常 难以 满足 的 特性 ,因为 许可 权 一 旦 被 授予 ,有 在 全 系统 发 生 迁 移 的 倾向 。 撤 
销 机 制 必须 保证 所 有 这 些 被 迁移 的 许可 权 真 正 地 收回 了 。 

一 个 许可 权 迁 移 的 例子 是 : 在 UNIX 系统 中 , 当 一 个 文件 被 打开 时 , 写 文件 的 访问 决 
策 被 执行 ,授予 的 许可 权 被 缓存 在 文件 描述 符 中 ,在 写 操作 时 用 来 进行 有 效 的 写 访 问 的 验 
证 。 在 UNIX 系统 中 ,撤销 对 该 文件 的 写 访 问 仅 仅 防止 以 后 试图 以 写 访问 方式 打开 此 文 
件 , 但 对 已 存在 于 文件 描述 符 中 的 被 迁移 的 权限 却 无 法 影响 。 这 种 撤销 支持 可 能 不 足以 
满足 安全 策略 需求 。 这 种 类 型 的 情况 并 不 少见 ,被 迁移 的 权限 可 以 在 系统 的 其 他 地 方 发 
现 , 包 括 权 能 、 页 表 中 的 访问 权限 .打开 的 IPC 连接 和 当前 正在 运行 的 操作 。 更 复杂 的 系 
统 可 能 在 更 多 的 地 方 产生 许可 权 的 迁移 。 

在 大 多 数 情况 下 ,撤销 能 简单 地 通过 改变 数据 结构 来 完成 。 但 是 ,如 果 有 一 个 正在 运 
行 的 操作 已 经 检查 过 它 的 许可 权 , 想 撤销 它 的 许可 权 就 是 件 比 较 复杂 的 事情 了 。 撤 销 机 
制 必须 能 够 识别 所 有 被 这 个 撤销 请 求 所 影响 的 正在 运行 的 操作 ,并 选用 三 种 可 能 的 方法 
之 一 来 处 理 这 些 请 求 。 第 一 种 方法 是 中 止 正在 运行 的 操作 ,并 返回 一 个 错误 状态 。 第 二 
种 方法 是 重启 操作 ,并 允许 对 撤销 许可 权 的 另 一 次 检查 。 第 三 种 方法 是 等 待 操作 的 自行 
完成 。 通 常 来 说 ,前 两 种 是 安全 的 。 只 有 当 系 统 能 够 保证 操作 在 不 引起 撤销 请 求 无 限 阻 
塞 时 能 完成 (例如 ,如 果 所 有 适当 的 数据 结构 已 经 被 锁 且 没有 外 部 依赖 关系 ) ,第 三 种 方法 
才 会 被 采用 。 因 为 阻塞 撤销 可 以 有 效 地 拒绝 撤销 请 求 并 引发 安全 威胁 ,所 以 这 样 做 很 
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这 里 定义 Flask 安全 结构 的 组 件 并 标识 每 个 组 件 为 适应 系统 目标 必须 满足 的 需求 。 
Flask 安全 结构 的 描述 虽然 是 建立 在 其 实现 于 微 内 核 的 多 服务 器 操作 系统 基础 上 ,但 是 
它 仅 需 要 操作 系统 包含 一 个 引用 监控 器 。 特 别 是 , Flask 体系 结构 要 求 其 满足 完备 性 和 
隔离 性 ,尽管 可 验证 性 在 结构 的 任意 实现 中 肯定 也 是 必需 的 。 

Flask 原型 来 源 于 Fluke 微 内 核 操作 系统 。 由 于 缺少 全 局 资源 和 API 的 原子 属性 ， 
Fluke 微 内 核 特别 适合 用 来 实现 Flask 体系 。 但 是 最 初 的 Fluke 系统 是 基于 权能 的 ,而 且 
自己 不 能 满足 Flask 体系 结构 的 需求 。 

图 5-1 说 明 实 施 安 全 策略 决策 的 组 件 称 为 对 象 管理 器 (object manager) ;向 客体 管理 
器 提供 安全 决策 的 组 件 称 为 安全 服务 器 (security servers) ;决策 子 系统 可 能 包括 其 他 组 
件 ,例如 ,管理 接口 和 策略 数据 库 , 但 这 些 组 件 之 间 的 接口 是 策略 依赖 的 ,所 以 在 结构 中 不 
说 明 。 

1. 结构 概览 

Flask 安全 体系 结构 如 图 5-1 所 示 ,描述 了 实施 安全 策略 决策 的 子 系统 和 做 决策 的 子 
系统 之 间 的 相互 操作 ,以 及 每 个 子 系统 内 部 组 件 的 需求 。 该 体系 结构 的 最 基本 目标 是 提 
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图 5-1 Flask 安全 体系 结构 


供 安全 策略 的 可 变通 性 ,确保 这 些 子 系统 无 论 如 何 做 出 决策 .如 何 随时 变化 ,都 有 一 致 的 
策略 决策 。 它 的 第 二 个 目标 包括 应 用 透明 ,深度 防御 .易于 论证 和 性 能 影响 最 小 化 等 。 

Flask 安全 结构 为 客体 管理 器 提供 了 三 个 主要 要 素 ; 

(1) 提供 从 一 个 安全 服务 器 重新 访问 、 标 记 和 多 实例 决策 的 接口 。 访 问 决策 规定 在 
两 个 实体 间 ( 特 别 是 一 个 主体 和 客体 之 间 ) 的 一 个 特定 的 许可 权 是 否 被 允许 。 标 记 决 策 规 
定 预 分 配给 客体 的 安全 属性 。 多 实例 化 决策 规定 多 实例 资源 集 的 哪个 成 员 被 特定 的 请 求 
访问 。 

(2) 提供 一 个 访问 向 量 缓存 器 (AVC) ,允许 客体 管理 器 缓存 访问 决策 结果 , 减 小 性 能 
损耗 。 

(3) 提供 客体 管理 器 接收 和 处 理 安全 策略 变动 通知 的 能 力 。 

客体 管理 器 负责 定义 机 制 来 为 它们 的 客体 分 配 标 记 。 一 个 控制 策略 规定 了 安全 决策 
如 何 被 用 于 控制 客体 管理 器 所 提供 的 服务 ,每 个 客体 管理 器 必须 定义 和 实现 它们 的 控制 
策略 。 这 个 控制 策略 通常 用 于 处 理 各 种 威胁 ,主要 是 通过 提供 该 安全 策略 控制 客体 管理 
器 所 提供 的 所 有 服务 ,以 及 允许 这 些 控制 是 可 依据 威胁 配置 的 。 每 一 个 客体 管理 器 对 策 
略 变化 时 的 调用 必须 定义 处 理 的 流程 。 对 于 多 实例 化 的 所 有 使 用 ,每 一 个 客体 管理 器 必 
须 定义 相应 的 机 制 选择 适当 的 资源 实例 。 


2 常规 支持 机 制 

这 一 节 描 述 所 有 客体 管理 器 的 常规 支持 机 制 , 它 主要 用 来 支持 策略 可 变通 性 。 尽 管 
Flask 结构 是 简单 的 ,但 在 实现 中 仍 有 一 些微 妙 之 处 ,下 面 将 进行 讨论 。 

1) 客体 标记 

所 有 安全 策略 控制 的 客体 同时 被 安全 策略 赋予 了 安全 属性 集 标记 ,也 就 是 安全 上 下 
文 。 此 体系 中 的 一 个 基本 问题 是 怎样 实现 客体 和 其 安全 上 下 文 的 关联 。 一 个 简单 的 解决 
办 法 是 定义 一 个 策略 无 关 的 数据 类 型 ,作为 与 每 个 客体 相关 联 的 数据 的 一 部 分 。 但 是 , 没 
有 一 种 数据 类 型 能 够 很 好 地 适应 系统 中 所 使 用 标记 的 所 有 不 同形 式 。Flask 体系 为 标记 
提供 了 两 种 策略 无 关 的 数据 类 型 来 满足 这 些 冲 突 的 需求 。 

第 一 个 策略 无 关 的 数据 类 型 是 安全 上 下 文 , 它 是 一 个 长 度 可 变 的 字符 串 ,能 被 任何 了 
解 安全 策略 的 应 用 或 用 户 解 释 。 一 个 安全 上 下 文 可 以 由 儿 个 属性 组 成 ,例如 用 户 标志 、 密 
级 .角色 和 域 ,但 这 取决 于 特定 的 安全 策略 。 当 安全 上 下 文 是 模糊 的 字符 串 时 ,就 不 会 损 
害 客 体 管理 器 的 策略 可 变通 性 。 然 而 使 用 安全 上 下 文 来 标记 ,查找 策略 决策 效率 低下 ,而 

114 


me 第 5 章 安全 体系 结构 mm 


且 还 会 增加 特定 策略 逻辑 被 引入 客体 管理 器 的 可 能 性 。 

第 二 个 策略 无 关 的 数据 类 型 是 安全 标志 符 (SID) , 它 被 Flask 定义 为 固定 长 度 的 值 ， 
只 能 被 安全 服务 器 解释 并 由 安全 服务 器 映射 到 一 个 特定 的 安全 上 下 文 。 拥 有 给 定安 全 上 
下 文 的 SID 并 不 具有 安全 上 下 文 的 任何 权限 。SID 映射 通过 其 安全 服务 器 或 不 同 结 点 上 
的 安全 服务 器 的 执行 (重启 ) 都 可 能 不 一 致 。 因 此 SID 可 能 是 轻 量 级 的 。 在 实现 中 ,SID 
是 简单 的 32 位 的 整数 ,没有 特定 的 内 部 结构 ,其 任何 内 部 结构 只 能 被 安全 服务 器 获知 。 
SID 人 允许 大 多 数 客体 管理 器 的 交互 不 仅仅 在 安全 上 下 文 的 内 容 上 无 关 , 而 且 在 安全 上 下 
文 的 格式 上 也 无 关 。 通 过 简化 客体 标记 和 接口 来 协调 安全 服务 器 和 客体 管理 器 间 的 安全 
策略 。 但 是 在 一 些 情况 下 ,例如 标记 持久 客体 或 标记 输出 到 其 他 结 点 的 客体 时 ,客体 管理 
器 必须 处 理 安全 上 下 文 。 

当 一 个 客体 被 创建 时 , 它 被 分 配 一 个 SID 来 显示 它 的 安全 上 下 文 。 典 型 地 ,这 个 上 
下 文 依赖 于 客户 对 客体 创建 的 请 求 和 创建 的 环境 。 例 如 ,一 个 新 创建 的 文件 的 安全 上 下 
文 依赖 于 它 创 建 时 目录 的 安全 上 下 文 和 请 求 创建 它 的 客户 的 安全 上 下 文 。 因 为 一 个 新 客 
体 和 改变 的 客体 的 安全 上 下 文 计算 涉及 特定 策略 逻辑 ,其 不 能 由 客体 管理 器 自身 来 操作 。 
一 个 新 客体 的 标记 在 图 5-2 中 描述 。 当 一 个 客户 需要 从 安全 管理 器 创建 一 个 新 客体 时 ， 
微 内 核 为 客体 管理 器 提供 客户 的 SID。 以 客户 的 SID、 相 关 客 体 的 SID 和 客体 类 型 作为 
参数 ,客体 管理 器 向 安全 管理 器 请 求 一 个 新 客体 的 SID。 安 全 服务 器 参考 策略 逻辑 的 标 
记 规 则 ,决定 新 客体 的 安全 上 下 文 , 返 回 符合 安全 上 下 文 的 SID。 最 后 客体 管理 器 把 新 客 
体 和 返回 的 SID 绑 定 。 对 一 些 安全 策略 , 像 ORCON 策略 ,即使 某 种 类 型 的 主体 和 客体 
是 在 相同 的 安全 上 下 文中 创建 的 ,也 要 求 唯 一 性 地 区 分 开 来 。 对 这 些 策 略 ,SID 必须 由 安 
全 上 下 文 和 安全 服务 器 选择 的 一 个 唯一 性 标记 来 计算 。 


[ Client(SID C) 
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图 5-2 Flask 的 客体 标记 


2) 客户 和 服务 器 鉴别 

当 发 出 请 求 的 客户 SID 是 安全 决策 的 一 部 分 时 ,客体 管理 器 必须 能 够 鉴别 这 个 SID。 
同时 ,有 必要 使 客户 能 够 鉴别 一 个 服务 器 的 SID, 以 确保 服务 是 来 自 一 个 恰当 的 服务 器 ， 
所 以 Flask 结构 需要 底层 系统 为 进程 间 通 信 (IPC) 提 供 客 户 服务 器 的 鉴别 形式 。 但 是 ,如 
果 不 提 供 客户 和 服务 器 一 种 超越 鉴别 的 方法 ,这 个 特性 是 不 完全 的 。 例 如 对 基于 权能 的 
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机 人 制 , 当 一 个 主体 发 出 请 求 影响 到 另 一 个 主体 的 利益 时 ,限制 它 自身 的 特权 是 必要 的 。 除 
了 限制 特权 之 外 ,超越 其 实际 鉴别 可 以 用 来 提供 通信 匿名 或 允许 透明 插入 ,就 像 在 分 布 式 
系统 中 通过 网 络 IPC 服务 器 连接 客户 和 服务 器 。 

Flask 微 内 核 提供 这 个 服务 直接 作为 IPC 处 理 的 一 部 分 , 胜 于 依赖 复杂 而 潜在 花费 
高 的 外 部 认证 协议 。 微 内 核 和 客户 的 请 求 一 起 提供 客户 到 服务 器 的 SID。 利 用 通信 能 
力 ,客户 可 以 发 一 个 内 核 调 用 来 鉴别 服务 器 SID。 当 发 一 个 IPC 请 求 时 ,客户 可 以 指定 一 
个 不 同 的 SID 作为 它 的 有 效 SID 来 超越 它 与 服务 器 的 鉴别 。 当 准备 接收 请 求 时 ,服务 器 
也 可 以 指定 一 个 有 效 的 SID。 在 两 种 情况 下 ,规定 一 个 特殊 有 效 的 SID 的 许可 权 由 安全 
服务 器 来 决定 ,并 由 微 内 核 执 行 。 所 以 ,Flask 微 内 核 支持 结构 需要 的 基本 的 访问 控制 和 
标记 操作 ,并 能 提供 最 小 特权 、 匿 名 和 透明 插入 的 可 变通 性 。 

3) 请 求 和 缓存 安全 决策 

在 最 大 可 能 简化 的 实现 中 ,对 象 管理 器 每 次 都 能 向 安全 服务 器 请 求 一 个 所 需 的 安全 
策略 。 但 是 ,为 缓解 服务 器 因 决 策 的 计算 和 传送 每 个 决策 的 通信 而 造成 的 工作 压力 ， 
Flask 体系 在 对 象 管理 器 内 提供 了 缓存 安全 决策 结果 的 机 制 。 

在 Flask 体系 中 ,缓存 机 制 提供 的 不 仅仅 是 缓存 某 个 个 体 的 安全 决策 结果 。 缓 存 访 
问 向 量 (AVC) 模 块 提供 了 对 象 管理 器 和 安全 服务 器 之 间 的 协调 策略 ,这 里 缓存 访问 向 量 
是 由 对 象 管理 器 共享 的 一 个 公共 资源 库 。 这 个 协调 策略 既 表 达 了 来 自 对 象 管理 器 对 策略 
决策 的 请 求 又 表达 了 来 自 服务 器 对 策略 变迁 的 请 求 。 前 者 将 在 本 节 讨论 ,而 后 者 留待 后 
面 探讨 。 

在 Flask 体系 中 ,一 个 对 象 管理 器 必须 决定 可 以 为 一 个 主体 所 访问 的 是 一 个 具有 某 
些许 可 权 的 对 象 ,还 是 一 个 具有 一 组 许可 权 的 对 象 。 这 是 一 种 典型 的 控制 操作 。 请 求 和 
缓存 安全 决策 的 过 程 顺 序 如 图 5-3 所 示 。 为 了 极 小 化 烦琐 请 求 的 安全 计算 的 报头 ,安全 
服务 器 可 以 提供 比 要 求 更 多 的 可 能 的 相关 决策 ,而 且 AVC 模块 将 存储 这 些 决 策 以 备 未 
来 之 用 。 当 安全 服务 器 收 到 安全 决策 的 请 求 时 , 它 就 返回 由 一 个 访问 向 量 表示 的 一 组 许 
可 权 , 用 以 描述 安全 策略 的 当前 状态 。 访 问 向 量 是 提供 给 安全 服务 器 的 SIDs 对 的 相关 
许可 权 的 一 个 集合 ,例如 所 有 的 文件 访问 许可 权 可 以 形成 单个 的 访问 向 量 。 
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图 5-3 在 Flask 中 请 求 和 缓存 安全 决策 
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4) 支持 多 实例 化 

必须 有 一 个 安全 策略 支持 这 样 的 事实 , 即 通过 多 实例 化 某 资源 及 按 群 划分 终端 实体 ， 
使 得 每 个 群 中 的 实体 能 共享 该 资源 的 相同 实例 化 ,从 而 限制 固定 资源 在 终端 实体 间 的 共 
享 。 例 如 ,具有 多 级 安全 特性 的 UNIX 系统 频繁 划分 /tmp 列表 ,但 是 为 每 个 安全 级 保留 
独立 的 子 列表 。Flask 体系 支持 多 实例 化 是 通过 提供 一 个 接口 来 实现 的 ， 安全 服务 器 凭 
借 该 接口 可 以 区 分 哪个 实例 化 可 被 一 个 特殊 的 终端 ee 终端 实体 和 实例 化 都 是 由 
SIDs 来 唯一 确定 。 实 例 化 被 称 为 members (成员 ) 。 一 个 成 员 的 一 般 过 程 如 图 5-4 
所 示 。 在 图 5-4 sedi eat 而 且 微 内 核 为 对 象 管理 器 提 
供 客户 的 SID。 对 象 管理 器 发 送 获得 成 员 对 象 的 SID 请 求 给 安全 服务 器 ,该 请 求 还 以 客 
户 SID, 多 实例 化 对 象 的 SID 及 对 象 的 型 为 参数 。 安 全 服务 器 依据 策略 逻辑 中 的 多 实例 
化 规则 ,为 成 员 决 定安 全 上 下 文 。 最 后 ,对 象 管理 器 选择 基于 返回 的 SID 的 一 个 成 员 ,并 
创建 一 个 对 象 作 为 该 成 员 的 子 对 象 。 
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图 5-4 在 Flask 中 的 多 实例 化 


534 特殊 微 内 核 特征 


前 一 节 描 述 了 Flask 对 象 管理 器 的 公共 的 安全 功能 。 本 节 将 讨论 增加 到 微 内 核 的 特 
殊 特征 。 但 是 对 吊销 的 支持 将 独立 地 讨论 。 

源 于 Fluke 体系 的 要 求 , 每 个 活动 的 内 核对 象 都 对 应 一 小 块 物理 内 存 。 尽 管内 存 本 
身 在 微 内 核 中 并 不 是 一 个 对 象 ,但 是 微 内 核 为 内 存 管理 及 绑 定 SIDs 到 每 个 内 存 段 这 两 
项 服务 提供 了 基础 。 每 个 内 核对 象 的 SIDs 和 与 之 对 应 的 内 存 段 的 SIDs 是 一 致 的 。 在 内 
存 标签 (label) 和 与 该 内 核 相关 的 内 核对 象 的 标签 之 间 的 这 种 关系 允许 实现 Flask 微 内 核 
对 控制 器 件 (leverage) 的 控制 ,而 不 是 像 在 DTOS 中 那样 引入 正 交 保护 模型 ,这 里 控制 器 
件 是 现存 的 Fluke 的 保护 模型 。 但 是 这 也 可 能 引发 标签 标识 灵活 性 的 潜在 丢失 ,因为 内 
存 的 分 配 粒 度 要 比 内 核对 象 的 分 配 粒度 疏松 得 多 。 

Flask 通过 基于 地 址 空间 的 SID 和 内 存 段 的 SID， 和 与 Flask 许可 权 结 
合 起 来 ,为 内 存 访问 模式 的 传播 提供 直接 的 安全 策略 控制 。 这 些 内 存 访问 模式 相对 于 这 
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些 内 核对 象 而 言 ,它们 的 作用 恰 如 权 能 (capabilities) 。 当 初次 试图 访问 内 存 映 射 时 , 微 内 
核验 证 是 否 安全 策略 已 明确 地 授予 了 对 每 个 被 请 求 的 访问 模式 的 许可 权 。 在 Fluke 中 ， 
内 存 许可 权 并 不 是 在 任意 接口 的 层面 上 都 被 计算 的 ,只 有 在 出 现 页 错误 时 才 被 计算 ; 因 
此 ,这 个 控制 提供 了 这 样 的 例子 , 它 表 明 仅 有 截获 请 求 是 不 够 用 的 。 因 为 内 存 段 的 SID 
是 不 可 改变 的 ,所 以 如 果 一 个 策略 发 生 了 变化 ,正如 在 5.4 节 中 讨论 的 那样 ,Flask 许可 
权 必 须 重 新 验证 合法 性 。 

在 Fluke 中 ,一 个 端口 参照 器 (reference) 作 为 权能 ,可 执行 IPC 到 相关 端口 集 上 的 服 
务 器 线程 的 操作 。 虽 然 Fluke 在 对 传播 的 控制 中 通过 使 用 典型 的 插入 技术 来 完成 ,但 是 
与 此 不 同 ,Flask 对 这 一 类 端口 参照 器 的 应 用 提供 直接 的 控制 ,控制 经 由 下 述 方式 来 完 
成 : 对 两 个 主体 而 言 , 如 果 它 们 获得 适当 的 许可 权 , 则 在 它们 之 间 人 允许 建立 IPC 连接 。 这 
些 直接 的 控制 使 得 使 用 策略 来 完成 对 权能 的 应 用 管理 成 为 可 能 。 

Flask 微 内 核 的 一 个 有 趣 方面 是 强加 在 两 个 对 象 之 间 关 系 之 上 的 控制 。 在 Fluke 中 ， 
这 些 关 系 是 应 用 对 象 参照 器 来 定义 的 (例如 线程 的 状态 包含 了 一 个 地 址 空间 参照 器 ) 。 遗 
憾 的 是 ,与 对 象 访问 的 方式 仅 有 读 、 写 访问 方式 相 比 ,使 用 这 些 对 象 参 照 絮 的 方式 是 多 样 
化 的 。 例 如 ,一 个 地 址 空间 的 参照 器 会 把 内 存 映 射 到 该 空间 或 输出 该 内 存 空 间 。 因 此 ， 
Flask 引入 了 对 这 些 关 系 的 另 一 种 类 型 的 控制 ,而 且 提 供 比 Fluk 更 细 粒 度 的 控制 。 某 些 
控制 仅 要 求 两 个 对 象 有 相同 的 SIDs ,而 另 一 些 则 须 包 含 明 确 的 许可 权 集 。 


535 支持 吊销 机 制 


在 Flask 体系 中 ,最 难处 理 的 就 是 对 象 管理 器 要 高 效 保存 一 些 安全 决策 的 局 部 拷贝 。 
这 些 决 策 在 缓存 访问 向 量 中 是 明确 的 ,而 在 可 移 去 许可 权 的 形式 下 是 不 明确 的 。 所 以 安 
全 策略 的 改变 要 求 在 安全 服务 器 和 对 象 管理 器 之 间 进 行 协调 以 确保 它们 的 策略 表达 是 一 
致 的 。 本 节 致 力 于 这 样 的 工作 ,更 详尽 地 讨论 在 安全 策略 发 生 改变 过 程 中 ,对 体系 要 素 的 
要 求 的 变化 情况 。 

通过 在 系统 上 强制 实施 两 个 要 求 ,可 获得 第 二 节 中 所 述 的 有 效 原子 性 的 需求 。 第 一 
个 要 求 是 在 策略 变动 完成 后 ,对 象 管理 器 的 行为 必须 反映 这 个 变化 。 如 果 没 有 一 个 子 顺 
序 过 程 实现 策略 变化 ,那么 吊销 许可 权 的 进一步 受 控 制 的 操作 是 不 允许 执行 的 。 第 二 个 
要 求 是 对 象 管理 器 必须 采用 实时 的 方式 完成 策略 变化 。 

第 一 个 要 求 仅 是 就 对 象 管理 器 而 言 的 ,但 是 当 用 一 个 合理 定义 的 协议 把 对 象 管理 器 
和 安全 服务 器 联系 起 来 , 它 将 给 出 系统 级 策略 的 有 效 原 子 性 。 这 个 协议 分 三 步 实施 : 首 
先 ,安全 服务 器 让 所 有 对 象 管理 器 注意 到 任何 以 前 提供 的 现 已 改变 的 策略 。 其 次 ,每 个 对 
象 管理 器 更 新 内 部 状态 以 反映 这 些 变 化 。 最 后 ,每 个 对 象 管理 器 让 安全 服务 器 注意 到 改 
变 已 完成 。 

对 要 求 策略 变更 按 特殊 顺序 发 生 的 那些 策略 的 支持 而 言 , 该 协议 的 最 后 一 步 是 根本 
的 。 例 如 , 某 策略 可 以 要 求 吊 销 一 定 的 许可 权 得 先 于 承认 某 些 新 的 许可 权 。 安 全 服务 器 
不 能 认为 策略 变更 已 完成 ,除非 所 有 影响 到 的 对 象 管理 器 已 完成 它 。 由 于 安全 服务 器 能 
作出 决定 什么 时 候 策略 变更 对 所 有 相关 的 对 象 管理 器 是 有 效 的 ,这 使 实现 系统 级 策略 变 
更 的 有 效 原 子 性 成 为 可 能 。 这 个 协议 并 没有 把 在 状态 管理 方面 不 应 有 的 负担 强加 给 安全 
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服务 器 。 在 许多 系统 中 对 象 管理 器 的 数量 相对 较 小 ,而 且 仅 有 的 那些 需要 额外 状态 处 
的 情况 是 对 象 管理 器 开始 时 颁发 一 个 访问 查询 以 获取 一 个 认可 的 许可 权 ,进一步 ,安全 
务 器 可 以 以 可 变 的 粒度 跟踪 认可 的 许可 权 , 从 而 约 减 安全 服务 器 记录 状态 的 数量 。 

强加 于 对 象 管理 器 的 实时 性 要 求 使 协议 提供 的 原子 形式 是 合理 的 。 由 不 可 信 软 件 行 
为 引起 的 吊销 请 求 的 任意 延 时 一 定 是 不 可 能 的 。 每 个 对 象 管理 器 一 定 有 能 力 进化 自己 的 
状态 ,而 不 会 受挫 于 端 实体 不 确定 的 阻挠 。 当 这 种 实时 性 要 求 被 推 而 广 之 用 于 系统 级 策 
略 变更 时 , 它 也 牵涉 到 系统 的 另 两 个 组 成 部 分 : 微 内 核 , 它 必须 在 对 象 管理 器 和 安全 服务 
器 之 间 提 供 实时 的 通信 ;调度 程序 , 它 必 须 为 对 象 管理 器 提供 CPU 资源 。 

通用 AVC 模块 的 功能 是 处 理 所 有 策略 变更 请 求 的 初始 进程 , 且 适 当地 优化 缓存 。 
该 模块 仅 有 的 另 一 个 必须 执行 的 操作 是 吊销 已 移 走 的 许可 权 。 

在 图 5-5 中 , 当 收 到 来 自 安全 服务 器 的 吊销 请 求 时 , 微 内 核 首 先 更 改 它 的 AVC ,接着 
检查 线程 和 存储 状态 ,并 根据 需要 执行 吊销 。 

在 升级 缓存 后 ,AVC 模块 请 求 已 由 对 象 管理 器 为 吊销 已 移 走 的 许可 权 注 册 回 函 。 文 
件 服务 器 支持 已 移入 文件 描述 对 象 的 许可 权 的 吊销 ,但 是 目前 还 不 能 支持 截断 正在 进行 
中 的 操作 。 为 吊销 已 移 走 许可 权 的 完整 的 回 函 目前 仅 在 Flask 微 内 核 内 实现 ,如 图 5-5 
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图 5-5 微 内 核 许可 权 吊 销 


Fluke API 的 两 个 性 质 简化 了 微 内 核 的 吊销 机 制 : 它 提供 了 线程 状态 的 及 时 、 完 全 的 
输出 , 且 确保 所 有 内 核 的 操作 或 是 原子 的 ,或 是 清楚 地 被 划分 为 用 户 可 视 的 原子 阶段 。 第 
一 条 性 质 允 许 内 核 吊销 机 制 访问 内 核 的 状态 ,包括 当前 进程 中 的 操作 。 吊 销 机 制 会 安全 
地 等 待 进程 中 操作 的 结束 或 者 按照 快速 保护 而 重 起 ,第 二 个 性 质 允 许 将 Flask 的 许可 检 
查 如 同 它 控制 的 服务 一 样 装 入 同样 的 原子 操作 中 ,这 样 可 以 避免 在 吊销 完成 之 后 服务 的 
重新 产生 。 


536 安全 服务 器 


像 以 前 描述 的 一 样 ,安全 服务 器 需要 提供 安全 策略 决策 ,保持 SIDs 和 安全 上 下 文 之 

间 的 映射 ,为 新 创建 的 客体 提供 SIDs ,提供 成 员 客 体 的 SIDs ,控制 客体 管理 器 的 访问 向 量 

缓存 。 此 外 ,大 多 数 安全 服务 器 的 执行 会 对 载 入 和 改变 策略 提供 功能 。 除 了 客体 管理 器 

中 的 缓存 机 制 以 外 ,对 安全 服务 器 提供 一 个 自己 的 缓存 机 制 会 有 很 大 的 好 处 , 它 用 来 保持 
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访问 计算 的 结果 。 这 一 点 是 很 有 利 的 ,安全 服务 器 可 以 利用 以 前 被 缓存 的 大 量 的 客户 需 
求 访问 计算 结果 来 缩短 它 的 反应 时 间 。 

对 安全 服务 器 提供 的 服务 而 言 ,安全 服务 器 是 一 个 典型 的 策略 强制 执行 者 。 表 现在 : 
首先 ,如 果 安 全 服务 器 对 改变 策略 提供 了 接口 , 它 必 须 对 主体 能 够 访问 的 接口 强制 执行 安 
全 策略 。 第 二 点 , 它 必 须 限 制 能 够 获取 策略 信息 的 主体 。 这 在 用 许可 权 需 求 作 为 策略 的 
情形 当中 尤其 重要 ,例如 一 个 利益 (interest) 策 略 的 动态 冲突 。 如 果 策 略 信息 的 机 密 性 很 
重要 ,客体 管理 器 必须 负责 为 它 缓存 的 策略 信息 提供 保护 。 

在 一 个 分 布 式 或 者 网 络 的 环境 中 ,一 个 诱 人 的 建议 是 将 每 个 结 点 的 安全 服务 器 仅仅 
作为 该 环境 策略 的 一 个 本 地 缓存 。 然 而 ,为 了 支持 不 同 种 类 的 策略 环境 ,一 个 值得 的 做 法 
是 每 个 结 点 都 有 它 自己 的 安全 服务 器 ,有 一 个 本 地 定义 的 策略 组 件 和 在 一 个 比较 高 的 级 
别 的 某 种 程度 的 协调 性 。 即 使 是 在 一 个 同类 的 策略 环境 中 ,有 必要 为 结 点 本 地 化 地 定义 
一 个 安全 策略 的 内 核 部 分 ,用 来 将 系统 安全 地 引导 到 一 个 可 以 和 环境 的 策略 进行 协商 的 
状态 。 对 一 个 分 布 式 安全 服务 器 与 环境 中 对 等 结 点 的 安全 服务 器 的 协调 的 发 展 仍然 是 将 
来 的 工作 。 对 许多 策略 来 说 ,安全 服务 器 应 该 能 够 容易 地 升级 和 复制 ,因为 大 多 数 的 策略 
几乎 不 需要 在 不 同 结 点 的 安全 服务 器 之 间 有 交互 性 。 然 而 ,一 个 安全 策略 ,例如 基于 历史 
的 策略 ,就 需要 在 安全 服务 器 之 间 有 很 强 的 协调 性 。 

被 Flask 安全 服务 器 封装 的 安全 策略 是 通过 对 它 的 代码 和 一 个 策略 数据 库 的 绑 定 来 
定义 的 。 任 何 能 够 被 原始 策略 数据 库 语言 表达 的 安全 策略 ,可 以 仅仅 通过 改变 策略 数据 
库 来 实现 。 对 其 他 安全 策略 的 支持 需要 对 安全 服务 器 内 部 的 策略 框架 进行 改变 ,可 以 改 
变 代码 或 者 完全 更 改 安全 服务 器 。 有 一 点 值得 注意 的 是 ,即使 需要 对 安全 服务 器 的 代码 
进行 改变 ,也 不 需要 对 客体 管理 器 进行 任何 变动 。 

当前 Flask 安全 服务 器 原型 实现 了 一 个 绑 定 四 个 子 策略 的 安全 策略 : 多 级 安全 
(MLS) .类 型 实施 .基于 标识 的 访问 控制 和 基于 角色 的 动态 访问 控制 (RBAC)。 安 全 服务 
器 提供 的 访问 决策 需要 符合 每 个 子 策略 。 除 了 标记 之 外 ,多 级 安全 策略 的 策略 逻辑 是 通 
过 安全 服务 器 代码 广泛 定义 的 。 其 他 子 策略 的 策略 逻辑 是 通过 策略 数据 库 语 言 定 义 的 。 
这 四 种 子 策略 并 不 是 Flask 体系 结构 和 执行 中 所 支持 的 策略 的 全 部 。 选 择 它们 作为 安全 
服务 器 原型 的 实现 是 为 了 体现 该 体系 结构 的 主要 特征 。 

因为 Flask 的 成 果 主 要 集中 在 策略 实施 机 制 和 这 些 机 制 与 安全 策略 的 协调 ,其 他 能 
够 仅仅 通过 改变 策略 数据 库 就 可 实现 的 安全 策略 受到 一 定 的 限制 。 这 是 当前 原型 的 一 个 
缺点 ,并 不 是 体系 结构 的 特征 。 还 没有 为 Flask 开发 一 种 有 表现 力 的 策略 规范 语言 或 者 
策略 配置 工具 。 这 种 工具 会 使 在 当前 原型 中 为 新 安全 策略 的 定义 提供 帮助 。 现 有 一 些 最 
近 的 设计 ,考虑 了 如 何 配 置 安全 策略 的 一 些 灵活 性 工具 ,它们 通过 提供 某 种 管理 Flask 提 
供 的 机 制 的 方式 来 对 Flask 的 成 果 进 行 了 精细 的 补充 。 
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以 下 各 节 描 述 了 某 些 Flask 用 户 空间 的 对 象 管理 器 的 特征 。 虽 然 它 们 对 于 了 解 
Flask 的 结构 并 不 是 必需 的 ,但 它 可 以 使 我 们 了 解 一 个 完整 的 系统 是 怎样 实现 策略 的 灵 
活性 的 。 
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1) 文件 服务 器 

Flask 的 文件 服务 器 提供 四 种 类 型 的 可 控制 (标签 化 客体: 文件 系统 目录、 文件 和 
文件 描述 符 客 体 。 因 为 文件 系统 .目录 和 文件 是 永久 性 客体 ,所 以 , 赋 子 它们 的 标签 也 必 
须 是 永久 性 的 。 绑 定 这 些 客体 及 其 永久 性 标签 的 方法 如 图 5-6 所 示 。 文 件 服 务 器 的 永久 
性 标签 的 策略 并 没有 牺牲 策略 灵活 性 和 系统 的 性 能 ,该 策略 将 安全 上 下 文 作为 不 透明 的 
字符 串 ,通过 向 安全 服务 器 提出 请 求 的 方法 获得 与 安全 上 下 文 相映 射 的 SID, 其 主要 在 文 
件 服务 器 内 部 使 用 。 对 文件 描述 符 客体 的 控制 是 独立 于 对 文件 本 身 的 控制 的 ,这 使 得 策 
略 可 以 控制 对 文件 描述 符 客体 的 访问 权限 的 传递 。 
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图 5-6 永久 性 客体 的 标签 化 


在 图 5-6 中 ,文件 服务 器 在 每 个 文件 系统 中 维护 着 一 张 表 ,该 表 标 识 了 文件 系统 以 及 
系统 中 每 个 文件 和 目录 的 安全 上 下 文 , 这 保证 了 文件 系统 即使 移 到 别处 ,这 些 客 体 的 安全 
属性 也 不 会 丢失 。 该 表 可 分 为 两 种 映射 : 安全 上 下 文 和 永久 性 SID(PSID) 的 映射 、 客 体 
和 PSID 的 映射 。PSID 是 文件 系统 内 部 的 抽象 概念 ,在 每 个 文件 系统 中 都 有 独立 的 名 字 
空间 。 

相对 于 UNIX 的 文件 存 取 控 制 ,Flask 文件 服务 器 定义 了 对 每 个 文件 或 目录 状态 进 
行 监测 和 修改 的 权限 ,例如 ,UNIX 系统 中 ,进程 对 文件 的 stat、unlink 操作 只 需 进 程 具 有 
访问 该 文件 父 目 录 的 权限 ,而 在 Flask 文件 服务 器 中 , 除 此 之 外 ,还 要 有 对 文件 本 身 的 存 
取 权 限 。 这 种 权限 方面 的 支持 对 于 支持 受 限 制 的 安全 策略 是 必需 的 。Flask 文件 服务 器 
的 服务 之 间 的 区 别 比较 细 粒 度 化 。 例 如 ,文件 的 write 和 append 权限 .目录 的 add_name 
和 remove_name 权限 是 独立 的 ,这 也 体现 了 其 策略 的 灵活 性 。 

文件 服务 器 支持 重新 为 文件 或 目录 赋 安 全 性 标签 的 操作 。 相 对 于 简单 地 把 客体 复制 
为 新 的 客体 然后 赋 上 另外 一 个 标签 ,这 种 操作 要 高 效 得 多 。 该 操作 很 复杂 : 首先 ,已 转移 
的 文件 的 权限 可 能 会 再 被 取消 。 例 如 ,改变 文件 的 SID 可 能 会 影响 到 已 经 存在 于 文件 描 
述 符 客体 中 的 文件 的 写 权 限 。 因 此 ,所 有 这 些 权限 都 要 重新 计算 ,必要 时 给 予 取消 。 

其 次 , 重 置 标签 的 操作 不 仅仅 通过 客户 端 主体 和 文件 的 SID 控制 ,而 且 也 关系 到 最 
近 被 申请 的 SID。 如 表 5-1 所 示 ,完成 重 置 标签 的 操作 需要 三 种 权限 。 一 个 简单 的 重 置 
标签 操作 也 有 助 于 理解 策略 的 灵活 性 ,因为 策略 的 逻辑 关系 可 以 直接 由 多 个 这 样 的 可 能 
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是 三 个 一 组 的 SID 组 体现 。 相 对 地 ,控制 文件 复制 操作 的 权限 通过 相关 SID 之 间 更 为 微 
弱 的 关系 也 可 实现 一 个 相同 的 策略 逻辑 关系 ,但 实现 起 来 要 相对 复杂 得 多 。 


表 5-1 对 文件 重 置 标签 的 权限 


SOURCE TARGET PERMISSION 
Subject SID File SID RelabelFrom 
Subject SID New SID RelabelTo 

File SID New SID Transition 


文件 服务 器 的 设计 预计 用 Flask 的 多 例 化 支持 安全 关联 目录 (security union 
directory,SUDs) 。 不 过 ,SUDs 的 设计 并 未 完成 。SUDs 概念 上 类 似 于 MLS UNIX 系统 
中 对 于 /tmp 目录 的 独立 目录 的 设计 方案 。SUD 的 方案 设计 用 来 支持 每 个 客户 决定 默认 
情况 下 首选 访问 哪 一 个 成 员 目 录 。 与 简单 的 独立 目录 方案 不 同 的 是 ,该 方案 根据 客户 和 
成 员 目 录 之 间 的 存 取 决定 提供 给 客户 一 个 整体 观念 , 即 都 有 哪些 成 员 目 录 可 以 由 客户 
存 取 。 

如 前 所 述 ,在 文件 服务 器 的 外 部 端口 上 实施 安全 控制 会 发 生 一 些 问题 。Flask 文 
件 服务 器 的 文件 系统 是 由 OSKit 实现 的 , 它 的 输出 COM 接口 类 似 于 许多 UNIX 系统 中 
使 用 的 内 部 VFS 接口 。 在 一 些 不 会 发 生 问题 的 接口 上 实施 Flask 的 安全 控制 也 是 可 
能 的 。 

2) 网 络 服务 器 

概括 地 说 ,Flask 的 网 络 服务 器 保证 每 个 网 络 上 的 IPC 都 经 过 安全 策略 的 认证 。 当 
然 ,网 络 服 务 器 并 不 能 独立 保证 网 络 的 IPC 根据 本 结 点 的 策略 得 到 安全 认证 ,因为 它 在 
数据 向 对 等 结 点 的 处 理 进 程 分 发 时 并 没有 端 到 端 控制 。 实 际 上 ,网 络 服务 器 必须 将 其 一 
定 程度 的 可 信 级 扩展 到 对 等 结 点 的 网 络 服务 器 ,已 强制 实施 自身 的 安全 策略 ,或 将 自身 的 
安全 策略 与 对 等 结 点 的 安全 策略 结合 。 这 就 需要 安全 策略 之 间 的 协调 ,需要 有 一 个 独立 
的 协调 服务 器 来 解决 这 个 问题 。 当 前 的 协调 服务 器 局 限于 用 ISAKMP 协议 来 协调 网 络 
安全 协议 和 加 密 方案 。 策 略 中 定义 了 信任 的 精确 程度 和 可 向 对 等 网 络 服务 器 扩展 的 可 信 
度 。 策 略 灵活 性 在 网 络 环境 的 扩展 是 需要 复杂 的 信任 关系 的 支持 的 。 

网 络 服务 器 中 受 控 制 的 客体 类 型 主要 是 socket。 对 于 维护 消息 边界 (如 数据 报 ) 的 
socket 类 型 ,网络 服务 器 为 通过 其 发 出 或 接收 的 每 个 消息 绑 定 一 独立 的 SID。 对 于 其 他 
socket 类 型 ,每 个 消息 都 隐 含 地 与 发 送 该 消息 的 socket 的 SID 关联 。 因 为 消息 超过 了 网 
络 服务 器 的 控制 边界 ,甚至 可 能 跨越 了 策略 域 的 边界 ,所 以 ,为 了 保证 策略 要 求 的 安全 性 ， 
网 络 服务 器 需要 对 消息 实施 密码 保护 ,网 络 服务 器 还 必须 能 实施 消息 和 消息 的 安全 属性 
的 绑 定 。 网 络 服务 器 模型 采用 IPSEC 协议 实现 该 目的 ,并 由 协调 服务 器 建立 安全 关联 。 
协调 服务 器 不 可 以 在 网 络 上 传输 内 部 标识 符 SID. 它 传输 的 是 真实 的 安全 属性 ,对 等 结 点 
可 据 次 得 到 自己 的 与 此 安全 上 下 文 对 应 的 SID。 协 调 服务 器 虽然 要 处 理 安全 上 下 文 ,但 
并 不 需要 对 它们 做 出 解释 ,这 样 就 保证 了 策略 的 灵活 性 。 安 全 属性 的 翻译 和 解释 必须 由 
相应 的 安全 服务 器 根据 策略 一 致 的 原则 完成 。 
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网 络 服务 器 的 控制 是 根据 网 络 协议 的 分 层 结构 分 层 的 。 所 以 ,网 络 高 层 IPC 服务 的 
抽象 控制 包括 了 网 络 上 每 一 层 的 抽象 控制 ,如 表 5-2 所 示 。 
表 5-2 网 络 协议 栈 的 层次 控制 


SOURCE TARGET LAYER 
Process SID Socket SID Socket 
Message SID Socket SID Transport 
Message SID Node SID oe 
Node SID Net Interface SID 


每 一 层 可 直接 访问 的 抽象 客体 都 分 配 有 SID, 可 供 安全 策略 实施 控制 。 网 络 服务 器 
所 在 结 点 的 SID 由 独立 的 网 络 安全 服务 器 提供 ,有 时 需要 查询 分 布 式 数据 库 来 获得 安全 
属性 。 网 络 接口 的 SID 可 在 本 机 配置 。 

分 层 控制 使 得 网 络 上 的 操作 可 以 根据 关于 安全 决定 的 信息 由 策略 更 精确 .更 规范 
地 控制 ,也 使 得 策略 可 以 利用 不 同 协议 的 特征 灵活 配置 (如 TCP 中 的 客户 机 /服务 器 关 
系 )。 网 络 服务 器 同样 也 面临 完善 服务 器 外 部 接口 的 安全 控制 的 问题 。 这 类 问题 存在 
是 因为 外 部 有 必要 对 抽象 客体 进行 控制 有 必要 介入 网 络 服务 器 外 部 接口 没有 提供 的 

因为 TCP 和 UDP 的 端口 空间 资源 固定 ,所 以 网 络 服务 器 利用 Flask 结构 的 多 例 化 
支持 安全 关联 端口 空间 (security union port spaces，SUPs)。SUP 类 似 于 SUD, 多 例 化 
支持 用 来 在 端口 和 Socket 绑 定 时 、 进 入 包 的 目的 端口 号 存在 于 多 个 成 员 端口 空间 时 , 决 
定 采用 哪 一 个 端口 空间 。 该 方案 根据 存 取决 定 提 供 了 一 个 整体 观念 , 即 都 有 哪些 端口 空 
间 在 多 例 化 的 端口 空间 中 可 以 访问 。 

Flask 的 网 络 服务 器 的 一 些 细节 和 其 他 对 其 提供 支持 的 服务 器 不 在 本 节 的 讨论 
范围 。 

3) 进程 管理 器 

Falsk 的 进程 管理 器 完善 了 POSIX 中 的 进程 抽象 体 ,支持 fork ,exec 等 一 些 函 数 。 
这 些 高 层 的 进程 抽象 体 在 层次 上 高 于 Flask 进程 ,它们 包括 一 个 地 址 空间 和 相关 联 的 线 
程 。 进 程 管理 器 提供 了 一 个 可 控制 的 对 象 类 型 一 一 POSIX 进程 ,并 对 每 个 POSIX 进程 
绑 定 一 个 SID。 与 Flask 的 SID 不 同 的 是 ,POSIX 进程 的 SID 可 通过 exec 发 生 改 变 。 
SID 转换 由 进程 新 旧 SID 之 间 的 转换 权限 控制 。 这 种 控制 可 以 规范 进程 向 不 同安 全 域 的 
转换 。 策 略 的 默认 客体 标签 化 机 制 中 定义 了 默认 的 转换 规则 。 

进程 管理 器 的 使 用 是 与 文件 服务 器 和 微 内 核 相 结合 的 。 进 程 管理 器 保证 每 个 
POSIX 进程 能 被 安全 初始 化 ,文件 服务 器 保证 可 执行 的 内 存 被 标识 了 文件 的 SID, 微 内 
核 保 证 进程 只 可 以 执行 具有 execute 访问 权限 的 内 存 。 进 程 管理 器 对 可 转换 的 POSIX 
进程 的 状态 进行 初始 化 ,并 在 策略 需要 的 情况 下 对 环境 进行 初始 化 。 
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54 ”LSM 安全 框架 


541 LSM 设 计 思 想 


Linux 内 核 只 是 提供 了 自主 访问 控制 ,缺乏 对 增强 访问 控制 机 制 的 直接 支持 。 由 于 
Linux 支持 动态 加 载 核心 模块 (Loadable Kernel Modules) 的 机 制 比较 成 熟 , 所 以 从 原理 
上 讲 ,增强 的 访问 控制 模块 可 以 作为 Linux 核心 安全 模块 来 实现 ,实现 灵活 的 动态 加 载 从 
而 支持 安全 策略 的 多 样 性 。 

实际 上 ,安全 模块 的 有 效 创 建 存 在 一 些 问题 ,因为 核心 并 不 提供 任何 基础 框架 ,来 允 
许 核 心 模块 仲裁 对 核心 客体 的 访问 。 因 此 ,核心 模块 典型 地 要 诉 诸 于 系统 调用 的 插入 来 
控制 核心 操作 ,这 种 访问 控制 的 方法 严重 受 限 。 另 外 ,这 些 核心 模块 经 常 需要 重 构 所 选 的 
核心 功能 ,或 者 需要 给 核心 打 补 丁 ,以 支持 模块 。 因 此 ,很 多 项 目 对 Linux 内 核实 现 增强 
访问 控制 框架 和 模块 都 是 以 核心 补丁 的 形式 实现 的 。 

基于 Linux 核心 ,NSA 发 布 了 SELinux, 它 在 Linux 核心 实现 了 一 个 灵活 的 访问 控 
制 体系 结构 Flask ,强调 了 在 主流 Linux 核心 中 这 种 支持 的 需要 。 作 为 对 NSA 发 布 
SELinux 的 反应 ,Linux 的 创始 人 Linus Torvalds 本 人 也 认为 对 Linux 核心 的 通用 访问 
控制 框架 是 必需 的 , 它 是 一 个 新 的 基础 框架 ,以 提供 对 核心 安全 模块 必要 的 支持 。 

LSM(Linux Security Module) 项 目 便 是 在 Linus 的 指导 下 开发 的 , 它 为 主流 Linux 
核心 开发 了 一 个 轻 量 级 的 ,通用 目的 的 访问 控制 框架 ,使 得 很 多 不 同 的 访问 控制 模型 可 以 
作为 可 加 载 的 安全 模块 来 实现 。 现 在 的 LSM 已 应 用 于 许多 现 有 增强 访问 控制 机 制 , 如 
POSIX. le 的 权能 机 制 .SELinux、DTE 均 可 作为 可 选 的 安全 模块 加 载 。 

LSM 框架 满足 使 得 许多 不 同 的 安全 模型 能 够 在 同一 基本 Linux 内 核 加 载 的 目标 ,而 
对 Linux 内 核 的 影响 最 小 。LSM 的 通用 性 允许 有 效 地 实现 增强 访问 控制 安全 模块 ,而 不 
需要 额外 的 核心 补丁 。LSM 还 允许 现 有 POSIX. 1 e 权能 的 安全 功能 能 够 从 基本 核心 分 
离开 来 。 这 样 可 以 满足 用 户 的 特别 需要 ,也 使 得 POSIX. le 权能 的 开发 能 够 用 更 独立 于 
系统 基本 核心 的 方式 ,继续 开发 。 

总 之 ,LSM 具备 如 下 三 个 特征 : 

(1) 真正 通用 ,不 同 的 安全 模型 的 实施 仅仅 是 加 载 不 同 的 安全 模块 ; 

(2) 概念 上 简单 ,最 小 的 扩散 ,有 效 ; 

(3) 能 够 作为 一 个 可 选 安 全 模块 ,支持 现 有 的 POSIX. le 权能 逻辑 。 

这 个 通用 安全 框架 将 提供 一 组 安全 “ 钧 子 ”(hooks) 来 控制 对 核心 客体 的 操作 ,提供 
一 组 在 核心 数据 结构 中 不 透明 安全 域 来 维护 安全 属性 。 此 外 ,这 个 框架 也 能 被 用 作 可 加 
载 核心 模块 ,通过 这 种 方式 来 在 系统 中 实现 任何 所 需 安全 模型 。 
另外 ,各 种 不 同 的 Linux 安全 增强 系统 则 和 希望 能 够 允许 它们 以 可 加 载 内 核 模块 的 形 

式 重 新 实现 其 安全 功能 ,并 且 不 会 在 安全 性 方面 带 来 明显 的 损失 ,也 不 会 带 来 额外 的 系统 
开销 ， 
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LSM 在 核心 数据 结构 中 增加 安全 域 (void * security) ,在 核心 代码 中 管理 安全 域 和 
在 实现 访问 控制 的 关键 点 插入 对 “安全 钧 函数 ”(hook) 孔 数 的 调用 。 它 也 增加 了 注册 和 
注销 安全 模块 的 函数 ,增加 了 通用 的 security 系统 调用 ,来 实现 对 安全 相关 应 用 的 支持 。 
访问 控制 的 关键 点 的 作用 在 于 仲裁 对 核心 内 部 客体 的 访问 。LSM 试图 来 回答 如 下 问题 : 

“一 个 主体 S 可 以 对 核心 内 部 客体 O 执行 核心 操作 OP 吗 ?”, 即 (S,O,OP) 判 定 问题 。 

LSM 通过 在 访问 之 前 的 核心 代码 中 放置 “ 钧 函数 ”(hooks) 来 仲裁 对 核心 客体 的 访 
问 , 如 图 5-7 所 示 。 就 在 核心 要 访问 一 个 内 部 客体 之 前 ,LSM 的 “ 钧 函数 ”调用 安全 模块 
提供 的 一 个 函数 。 安 全 模块 来 判断 该 访问 或 者 可 以 发 生 或 者 拒绝 访问 ,强制 返回 一 个 错 
误 码 。 


User Level process User space 


Kernel space 
open system call 


look up inode 


error checks 


DAC checks LSM Module Policy Engine 
“OK with you?” | Examine context. 


LSM hook Does request pass policy? 
Grant or deny. 


Yes or No 


access inode 
图 5-7 LSM* 钓 子 ”调用 


LSM 框架 利用 核心 现 有 机 制 来 将 用 户 空间 的 数据 转化 成 内 核 空 间 数据 结构 ,使 得 
LSM 框架 能 在 核心 实际 实施 所 请 求 的 服务 之 前 , 存 取 到 完整 的 核心 上 下 文 , 直 接 仲 裁 对 
核心 数据 结构 的 访问 。 这 样 提 高 了 访问 控制 的 粒度 ,并 避免 了 反复 从 用 户 空 间 拷 和 数据 
和 重复 检查 带 来 的 效率 低 的 问题 。 很 多 安全 模型 需要 对 核心 客体 绑 定安 全 属性 ,为 了 便 
于 此 ,LSM 提供 不 透明 的 安全 域 ,这 些 域 与 各 式 各 样 内 部 核心 客体 联系 起 来 。 但 是 ,这 些 
域 的 管理 由 安全 模块 完全 负责 ,包括 分 配 、 释 放 和 并 发 控制 。 

对 于 LSM 的 设计 来 说 ,安全 策略 由 安全 模型 实施 ,为 了 实现 安全 策略 的 多 样 性 ， 
LSM 允许 使 用 模块 堆栈 ,而 处 理 模块 堆栈 的 大 多 数 工作 也 由 模块 自身 完成 。 如 一 个 系统 
中 既 采 用 DTE 策略 ,又 采用 POSIX1.e 的 capability 机 制 , 此 两 种 策略 将 实现 各 自 的 安全 
模块 ,并 通过 模块 堆栈 的 形式 实现 合成 。 


542 LSM 实 现 方法 


Linux 安全 模块 (LSM) 目 前 作为 一 个 Linux 内 核 补丁 的 形式 实现 ,LSM 主要 在 以 下 
五 个 方面 对 Linux 内 核 进行 了 修改 。 


1 在 特定 的 内 核 数 据 结构 中 加 入 安全 域 
安全 域 是 一 个 void* 类 型 的 指针 , 它 使 得 安全 模块 把 安全 信息 和 内 核 内 部 对 象 联系 
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起 来 。 这 些 被 修改 加 入 安全 域 的 内 核 数据 结构 包括 task_struct 结构 linux_binprm 结 
构 、.super_ block 结构 .inode 结构 file 结构 、sk_buff 结构 、net_device 结构 、kern_ipc_ 
perm 结构 等 。 


2 在 内 核 代码 中 的 管理 域 和 实现 访问 控制 的 关键 点 插入 对 钧 子 函 数 的 调用 

每 一 个 LSM 的 钩子 调用 可 以 很 容易 地 在 内 核 源 代 码 中 通过 查找 security_ops 一 过 
找到 ,如 图 5-8 所 示 。 所 有 的 LSM"“ 钩 子 ?" 可 被 分 为 两 个 主要 范畴 : 用 来 管理 安全 域 的 “ 钩 
子 ” 和 用 来 实施 访问 控制 的 “ 钧 子 ”。 属 于 第 一 类 范畴 的 “ 钧 子 ” 例 子 包括 alloc_security 和 
free_securit 交 钩子 ”它们 定义 了 每 一 个 含有 安全 域 的 核心 数据 结构 ,并 用 来 分 配 和 释放 
核心 客体 的 安全 结构 。 这 类 范畴 的 “钩子 "也 包括 在 分 配 以 后 用 以 设置 安全 域 中 的 信息 ， 
例如 在 inode_security_ops 结构 中 的 “ 钧 子 ”post_lookup 用 来 在 成 功 完成 搜索 (lookup ) 操 
作 后 ,为 inode 设置 安全 信息 。 第 二 类 范畴 “ 钧 子 ” 的 一 个 例子 是 在 inode_security_ops 结 
构 中 的 “ 钧 子 "permission ,用 来 在 访问 inode 时 检查 权限 。 


Iat vis mkdirlstruct inode *dir, 
struct dentry *dentry, i2t mode) 
{ 


iat errori 


down (Edir->1i -ombie)y 
error = may_crenteldir, denatry)s; 
IE lerror) 

goto exit_locky 


error = -EPERM; 
if ll!dir->i_op || !dir->i_op->mkdir) 
goto exit_locky 


mode 5= (5S_IRNXUGO|S_ISVIX); 
error = 
<-> security_ops->iiode_ops->mkdir (dir, 
dentry, mode)y; 
if lerror) 
goto exit_ locky 


DAOUOT_INIT (dir)s 

lock_ kerael (); 

error = dir->i op->mkdirldir, dentry, mode); 
ualock keraell)s; 


exit_lock: 
D3I5aiLr->1L -combie); 
if (lerror) { 
inode dir 20tifyldir, DN CREATE); 
<-> security ovs->1iode ops->post_ mkdir ldir, 
dentry, mode}y 
} 
retura errory 


} 
图 5-8 ”LSM* 钧 子 ”函数 示例 
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3. 加 入 一 个 通用 的 安全 系统 调用 

LSM 提供 了 一 个 通用 的 安全 系统 调用 ,允许 安全 模块 为 安全 相关 的 应 用 编写 新 的 系 
统 调 用 ,其 风格 类 似 于 原 有 的 Linux 系统 调用 socketcall() ,是 一 个 多 路 的 系统 调用 。 这 
个 系统 调用 为 security() ,其 参数 为 (unsigned int id, unsigned int call, unsigned long * 
args) ,其 中 id 代表 模块 描述 符 ,call 代表 调用 描述 符 ,args 代表 参数 列表 。 大 多 数 安全 模 
块 都 可 以 自己 定义 这 个 系统 调用 的 实现 。 


4 提供 函数 允许 内 核 模块 注册 为 安全 模块 或 者 注销 一 个 安全 模块 

在 内 核 引 导 的 过 程 中 ,LSM 框架 被 初始 化 为 一 系列 的 虚拟 钩子 函数 ,以 实现 传统 的 
UNIX 超级 用 户 机 制 。 当 加 载 一 个 安全 模块 时 ,必须 使 用 register_security() 函数 向 
LSM 框架 注册 这 个 安全 模块 ,从 而 使 内 核 转向 这 个 安全 模块 询问 访问 控制 决策 ,直到 这 
个 安全 模块 被 使 用 unregister_security() 函 数 从 LSM 框架 中 注销 。 


5 将 大 部 分 权能 逻辑 移植 为 一 个 可 选 的 安全 模块 

Linux 内 核 现在 通过 对 POSIX. le 权能 的 一 个 子 集 提供 支持 ,提供 了 划分 传统 超级 
用 户 特权 并 赋 给 特定 的 进程 的 功能 。LSM 设计 的 一 个 需求 就 是 把 这 些 功能 移植 为 一 个 
可 选 的 安全 模块 , 它 保 留 了 用 来 在 内 核 中 执行 capability 检查 的 现存 的 capable() 接 口 ,但 
把 capable() 函 数 简化 为 一 个 LSM 钩子 函数 的 包装 ,从 而 允许 在 安全 模块 中 实现 任何 需 
要 的 逻辑 。 这 些 实现 方法 都 最 大 程度 地 减少 了 对 Linux 内 核 的 修改 影响 ,并 且 最 大 程度 
保留 了 对 原 有 使 用 权能 应 用 程序 的 支持 ,同时 满足 了 设计 的 功能 需求 。 


543 LSM 钧 函数 调用 说 明 


本 节 详 细 描述 LSM 是 如 何在 底层 实现 它 的 安全 访问 控制 。 在 内 核 中 ,LSM 的 接口 
其 实 是 一 张大 的 钧 函数 表 , 且 与 系统 中 执行 传统 超级 用 户 DAC 策略 控制 的 系统 调用 放 
置 在 一 起 。 这 些 钩 函数 并 不 指明 该 函数 功能 的 具体 实现 ,LSM 将 函数 具体 实现 的 任务 留 
给 安全 模块 的 开发 者 ,使 他 们 能 够 按照 自己 的 安全 策略 实现 不 同 的 安全 需求 。 下 面 按照 
LSM 对 系统 中 不 同 客 体 的 划分 ,详细 地 描述 各 部 分 钧 函数 的 调用 说 明 。 


1. 系统 钧 函数 (System Hboks) 

LSM 定义 了 一 组 混杂 的 钧 函数 ,用 来 控制 不 被 其 他 钧 函数 控制 的 其 他 系统 敏感 行 
为 。 这 些 钧 函数 主要 用 来 控制 系统 级 别 的 操作 ,比如 设置 系统 的 主机 名 和 域名 、 系 统 重启 
动 .1/O 端口 的 访问 。 虽 然 现存 的 权能 检查 已 经 保护 了 一 些 系统 操作 ,但 是 LSM 钓 函 数 
提供 了 更 加 细致 的 访问 控制 能 力 。 

LSM 接口 按照 现存 的 系统 内 核 中 的 POSIX. le 权能 体系 结构 进行 了 适当 的 调整 。 
虽然 系统 中 的 权能 检查 能 够 超越 标准 的 DAC 检查 ,但 是 此 权能 检查 受 限 于 一 个 描述 系 
统 权 能 的 32 位 矢量 ,例如 ,CAP_DAC_OVERRIDE, 因 此 它 仅 仅 为 模块 提供 了 受 限 的 上 
下 文 ,影响 了 进行 访问 决策 的 能 力 。LSM 提供 了 一 个 系统 级 的 capable() 钩 函数 ,并 把 它 
放置 在 已 有 的 capable() 函 数 内 ,使 它 获得 与 POSIX. le 很 好 的 兼容 性 ,并 且 获 得 了 能 够 
超越 DAC 检查 的 适当 能 力 。 
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LSM 框架 还 增加 了 一 个 新 的 security 系统 调用 ,该 调用 仅仅 是 一 个 外 壳 , 通 过 它 可 
以 容易 地 调用 到 LSM 的 sys_security() 钩 函数 。 该 系统 调用 只 是 一 个 简单 的 混合 调用 
体 , 它 允许 模块 定义 一 组 策略 特殊 的 系统 调用 , 它 的 处 理 方 式 与 标准 的 Linux 系统 中 的 
sys_socketcall(2) 的 处 理 方 式 类 似 。 


2 程序 加 载 钩 函数 (PogamLoadng Hboks) 

结构 体 linux_binprm 用 来 描述 一 个 通过 execve(2) 加 载 的 可 执行 程序 。LSM 提供 
了 一 组 可 执行 程序 钧 函数 来 管理 和 控制 可 执行 程序 的 加 载 。 许 多 安全 模型 ,包括 Linux 
的 权能 ,需要 具有 能 够 在 可 执行 程序 加 载 时 改变 特权 的 能 力 。 因 此 ,LSM 在 可 执行 程序 
加 载 的 许多 重要 点 设置 了 钧 函数 调用 ,用 来 检查 一 个 进程 执行 可 执行 程序 的 能 力 和 管理 
进程 中 安全 域 的 改变 。 

LSM 为 linux_binprm 新 增 了 一 个 安全 域 ,在 调用 execve(2) 并 且 一 个 程序 文件 被 打 
开 后 ,调用 钩 函 数 bprm_alloc_security() 来 分 配 该 安全 域 。 钧 函数 bprm_set_security() 
用 来 将 安全 信息 保存 在 安全 域 中 ,该 钧 函数 可 能 在 一 个 execve(2) 执 行 时 被 调用 多 次 。 这 
两 个 钧 函数 都 可 以 阻止 程序 的 加 载 。 在 程序 加 载 的 最 后 阶段 ,调用 bprm_compute_creds() 
来 设置 通过 execve(2) 转 换 出 的 新 进程 的 安全 属性 。 一 般 而 言 ,该 钧 函数 会 结合 旧 有 的 安 
全 属性 和 保存 在 linux_binprm 安全 域 中 的 安全 信息 来 设置 新 的 安全 属性 。 一 旦 新 程序 
被 加 载 ,内 核 调 用 bprm_free_security() 钩 函数 来 释放 linux_binprm 中 的 安全 域 。 


3 .文件 系统 钩 函 数 (File System Hboks) 

Linux 在 虚拟 文件 系统 (VFS) 层 定义 了 三 个 主要 的 客体 用 来 封装 底层 文件 系统 开发 
所 直接 面 对 的 接口 ,它们 是 super block、inode 和 file。 每 一 个 客体 定义 了 一 组 操作 来 控 
制 VFS 和 具体 文件 系统 之 间 的 交互 接口 ,所 以 ,该 接口 是 LSM 用 来 进行 文件 系统 访问 控 
制 的 最 佳 的 设置 点 。 下 面 分 别 讲述 三 类 钧 函数 。 

1) 超级 块 钧 函数 (Super Block Hooks) 

内 核 中 的 super block 代表 一 个 文件 系统 ,该 结构 在 装载 和 缉 载 一 个 文件 系统 ,或 者 
获得 文件 系统 统计 特性 时 使 用 。LSM 定义 了 一 组 super block 钧 函数 ,用 来 控制 与 super 
_block 有 关 的 各 种 操作 。 例 如 ,在 一 个 进程 试图 获得 文件 系统 的 统计 特性 时 就 会 调用 
sb_statfs() 钓 阴 数 进行 检查 。 

当 加 载 一 个 文件 系统 时 ,内 核 首 先 调用 sb_mount0 〇 钧 函数 进行 验证 ,假定 成 功 返 回 ， 
系统 就 会 创建 一 个 新 的 super block, 内 核 然 后 调用 sb_alloc_security() 钧 函数 在 super 
block 中 分 配 安 全 域 。 接 着 , 当 super block 被 添加 到 系统 全 局 链表 时 ,会 调用 sb_check_ 
sb() 钧 函数 来 验证 该 文件 系统 是 否 真正 能 够 被 加 载 到 它 所 请 求 的 加 载 点 ,如 果 成 功 返回 ， 
系统 调用 sb_post_addmount() 钩 函数 来 同步 化 安全 模块 的 状态 。 当 务 载 一 个 文件 系统 
时 ,调用 sb_umount() 钧 函数 进行 检查 ,如 果 成 功 返 回 , 系 统 调用 sb_umount_close() 钧 区 
数 来 同步 化 安全 模块 的 状态 ,例如 ,关闭 所 有 被 安全 模块 打开 的 文件 系统 中 的 所 有 文件 。 
一 旦 该 super block 不 再 指向 任何 文件 系统 时 ,就 会 被 删除 ,在 此 过 程 中 ,系统 调用 sb_ 
free_security() 钓 函数 释放 它 的 安全 域 。 

2) 结 点 钧 函数 (Inode Hooks) 
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内 核 中 的 inode 结构 代表 了 一 些 基本 的 文件 系统 客体 ,例如 ,文件 .目录 和 链接 。 
Inode 钩 函 数 用 来 管理 和 控制 这 些 基 本 的 内 核 数 据 结构 。 内 核 中 已 近 定 义 了 一 组 关于 
inode 的 操作 ,inode_operations, 它 描述 了 能 够 在 inode 上 进行 的 操作 ,create() 、unlink 
() ,lookup() .mknod() ,rename() 等 。 这 种 封装 为 LSM 控制 inode 客体 的 访问 提供 了 一 
个 良好 的 接口 。LSM 在 inode 结构 体 中 添加 了 一 个 安全 域 ,并 且 定 义 了 相应 的 钧 函数 对 
该 安全 域 进行 管理 和 操作 。 

文件 的 lookup 操作 或 者 文件 系统 的 客体 创建 操作 会 在 内 核 中 生成 inode 缓存 。 对 
于 一 个 已 创建 的 inode, 安 全 模块 调用 inode_alloc_security() 钩 函数 为 inode 分 配 安全 域 。 
通过 inode_post_lookup 或 者 inode_post_create 可 以 为 新 创建 的 客体 进行 安全 标识 。 当 
inode 链接 数 减 到 0 时 ,可 以 调用 inode_delete() 钓 函数 清除 安全 标识 。 最 后 , 当 一 个 
inode 被 删除 时 ,调用 inode_free_security 钧 函数 释放 为 它 分 配 的 安全 域 。 

在 大 多 数 情 况 下 ,LSM 中 有 相应 的 inode 钧 函数 与 inode_operations 对 应 。 对 于 所 
有 的 能 够 创建 新 文件 系统 客体 的 inode_operations 来 说 ,都 有 一 个 post 钧 函数 与 之 相对 
应 ,用 来 完成 一 些 相 关 的 安全 标识 。 例 如 , 当 一 个 进程 创建 了 一 个 新 的 链接 时 ,首先 调用 
inode_symlink() 钧 消 数 检查 创建 一 个 symlink 的 权限 ,如果 该 symlink 创建 成 功 ,就 会 调 
用 inode_post_symlink 钧 函数 对 新 创建 的 symlink 设置 安全 标识 。 

只 要 有 可 能 ,LSM 都 会 权衡 和 利用 现存 的 内 核 安全 体系 结构 。 内 核 中 标准 UNIX DAC 
通过 检测 uids、guids 和 mode bits 对 文件 系统 客体 的 访问 进行 控制 。LSM 利用 了 VFS 层 已 
经 存在 一 个 permission() 函数 ,把 它 的 inode_permission() 钧 函数 加 入 该 函数 中 。 

3) 文件 钧 函数 (File Hooks) 

内 核 的 file 结构 代表 了 一 个 打开 的 文件 系统 客体 , 它 包含 一 个 file_operations 结构 ， 
指向 可 以 对 该 文件 进行 的 所 有 操作 。 例 如 ,一 个 file 可 以 被 读 出 或 者 写 入 .搜索 、 映 射 到 
内 存 , 等 等 。 与 inode 多 函数 类 似 ,LSM 也 提供 了 file 钧 函数 管理 和 控制 对 file 的 访问 ， 
并 且 为 file 结构 体 增加 了 一 个 安全 域 。 

当 一 个 文件 被 打开 时 ,就 会 创建 一 个 新 的 file 客体 ,此 时 会 调用 file_inode_security() 
钧 函数 分 配 和 标识 该 安全 域 。 该 安全 标识 一 直 存在 到 该 file 被 关闭 , file_free_security() 
多 函数 释放 该 安全 域 为 止 。 

多 函数 file_permission() 用 来 重新 验证 对 file 的 读 写 访问 , 它 对 内 存 映像 文件 的 读 写 
不 起 作用 ,因为 这 种 对 页 面 级 的 重新 验证 是 不 实际 的 ,对 系统 的 改动 和 影响 太 大 。 实 际 
上 ,对 一 个 文件 的 映射 操作 是 通过 file_mmap( 疏 钧 函数 控制 和 保护 的 ,此 外 ,改变 映像 文 
件 的 保护 位 必须 通过 file_mprotect() 钧 函数 的 控制 检查 。 

当 用 锁 机 制 来 同步 多 个 读 和 写 操作 时 ,进程 必须 通过 file_lock() 钧 函数 的 权限 检查 
才能 对 一 个 file 进行 锁 操作 。 

如 果 设 置 了 一 个 文件 的 O_ASYNC 标志 , 当 文 件 准备 好 输入 或 输出 时 , 非 同 步 的 W/O 
就 绪 信 号 就 会 发 送 给 文件 的 所 有 者 。LSM 用 file_set_fowner() 控 制 和 保护 指定 一 个 进 
程 来 接受 I/O 就 绪 信 和 号 的 能 力 。 同 理 , 用 file_send_sigiotask() 文 件 钧 函数 控制 实际 信号 
的 发 送 。 

LSM 用 file_ioctl1() 和 fie_fcntl(O) 钧 函数 控制 ioctl(2) 和 fcntl(2) 接 口中 封装 的 其 他 
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对 文件 的 各 种 操作 。 另 一 个 file_receive() 钩 函数 用 来 保护 通过 socket 控制 信息 接收 文 
件 描述 符 的 能 力 。 

4 进程 钧 函数 (Task Hboks) 

结构 体 task_struct 是 一 个 表示 内 核 进 程 调度 的 客体 , 它 包含 基本 的 进程 信息 ,比如 
用 户 和 组 ID、 资 源 限制 .调度 策略 和 优先 级 。LSM 提供 了 一 组 进程 钧 函数 控制 对 这 些 基 
本 信息 的 访问 。 此 外 , 钧 函数 还 控制 进程 发 送 和 接收 进程 间 通 信 的 信号 。LSM 在 task_ 
struct 结构 中 增加 了 一 个 安全 域 ,使 安全 模块 可 以 根据 不 同 的 安全 策略 赋予 进程 安全 
标识 。 

LSM 的 进程 钩 函数 覆盖 了 进程 的 整个 存活 周期 。 通 过 调用 task_create( ) 进 程 钩 函 
数 , 可 以 验证 一 个 进程 是 否 可 以 创建 一 个 新 的 进程 。 如 果 成 功 返 回 ,将 创建 一 个 新 的 进 
程 , 并 且 使 用 task_alloc_security() 进 程 钧 函数 为 新 进程 分 配 一 个 安全 域 。 如 果 一 个 进程 
已 存在 , 当 它 向 父 进程 发 送信 号 时 ,会 调用 task_kill() 进 程 钧 函数 进行 验证 。 同 样 ,task_ 
wait() 进 程 钧 函数 用 来 验证 父 进程 是 否 能 够 接收 子 进程 的 信号 。 进 程 中 止 时 ,调用 task_ 
free_security() 进 程 钧 函数 释放 安全 域 。 

此 外 ,在 进程 的 存活 周期 内 , 它 可 能 会 试图 改变 自己 的 一 些 信息 ,例如 ,进程 可 能 调用 
setuid(2)。LSM 中 有 相应 的 task_setuid() 进 程 钧 函数 对 它 进 行 控 制 。 如 果 成 功 返 回 ,内 
核 就 改变 该 进程 的 用 户 标 识 符 ,并 且 通 过 task_post_setuid() 进 程 钓 函 数 通知 策略 模块 。 
这 种 通知 能 够 允许 模块 改变 它 的 状态 ,例如 ,改变 进程 的 安全 域 。 为 了 避免 泄露 进程 的 潜在 
的 信息 ,LSM 还 会 控制 查询 一 个 进程 状态 的 能 力 。 例 如 ,查询 任意 一 个 进程 的 组 ID 和 调度 
策略 是 通过 task_getpgid() 和 task_getscheduler() 进 程 钧 函数 来 分 别 控制 的 。 


5 网 络 钧 函数 (Nevark Hboks) 

Linux 内 核 支 持 扩展 的 网 络 协 议和 相关 的 支撑 组 件 。 因 为 网 络 是 Linux 的 一 个 重要 
寺 点 ,LSM 将 它 通 用 的 安全 框架 也 扩展 到 内 核 的 网 络 部 分 中 。 由 于 Linux 网 络 栈 利用 了 
Berkeley 套 接 字模 型 ,LSM 利用 它 提供 的 套 接 字 钧 函数 为 基于 套 接 字 的 协议 提供 了 粗略 
的 控制 。 此 外 ,LSM 为 IPv4 .Unix domain 和 Netlink 协议 提供 了 更 加 细致 的 控制 。 这 些 
协议 被 认为 是 实现 一 个 最 小 化 可 用 系统 不 可 缺少 的 部 分 。 为 其 他 协议 提供 的 相应 的 钧 函 
数 可 能 会 在 以 后 的 阶段 实现 。LSM 对 底层 网 络 组 件 的 支持 是 有 一 定 的 限度 的 ,比如 路 由 
表 和 流量 分 类 器 。 因 为 如 果 对 这 些 组 件 进行 细致 的 访问 控制 需要 对 内 核 的 代码 改动 太 
大 ,而 且 对 这 些 组 件 的 控制 可 以 在 系统 高 层 实现 ( 例 如 ,通过 系统 调用 ioct1(2)), 尽 管 它 
可 控制 力度 可 能 会 受到 TOCTTOU 的 有 影响。 此外, 现 有 的 内 核 代码 中 利用 了 CAP_NET 
_ADMIN 能 力 需 求 控制 进程 对 网 络 支持 组 件 的 写 入 操作 。 

1) 套 接 字 和 应 用 层 (Sockets and Application Layer) 

应 用 程序 对 网 络 的 访问 是 通过 socket 钧 函数 进行 控制 的 。 当 一 个 应 用 程序 试图 通 
过 socket(2) 系 统 调用 创建 一 个 socket 时 ,socket_create() 钧 函数 就 会 在 实际 创建 之 前 对 
它 进行 检查 。 如 果 创 建成 功 , 就 会 调用 socket_post_create() 钧 函数 改变 与 该 socket 相关 
联 的 inode 的 安全 状态 。 

因为 每 个 活动 的 用 户 socket 都 有 一 个 相关 的 inode 结构 体 ,所 以 LSM 并 没有 在 
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socket 结构 中 或 者 底层 的 sock 结构 中 另外 增加 一 个 安全 域 。 然 而 ,一 个 没有 socket 和 
inode 结构 体 的 socket 也 是 可 能 存在 的 。 因 此 ,网 络 钧 函数 需要 谨慎 对 待 socket 安全 域 。 

LSM 为 每 一 个 socket 系统 调用 提供 了 相应 的 钧 函数 进行 控制 。 例 如 ,bind (2)、 
connect(2) ,listen(2) 等 。 具 体 的 协议 信息 可 以 通过 socket 结构 体 传输 给 所 有 这 些 钩 函 
数 ,这 给 传输 层 属性 的 控制 ,例如 TCP 的 连接 状态 ,提供 了 便利 。 这 也 是 为 什么 LSM 没 
有 为 传输 层 提供 显 式 的 钧 函数 。 

当 一 个 数据 包 第 一 次 与 某 个 socket 相关 联 时 ,调用 socket_sock_rcv_skb() 钧 函数 ， 
该 钧 函数 利用 接收 socket 的 安全 信息 和 通过 底层 网 络 栈 传输 上 来 的 sk_buff 中 的 安全 信 
息 进行 决策 控制 。 

LSM 还 提供 其 他 socket 钧 函数 控制 抽象 命名 空间 中 的 UNIX domain 通信 。 钧 函数 
unix_stream_connect() 人 允许 对 流连 接 进行 控制 ,而 基于 数据 报 通信 的 控制 可 以 通过 unix 
_may_send() 钩 函数 对 单个 消息 的 控制 实现 。 

2) 数据 包 (Packets) 

数据 包 在 网 络 栈 中 的 传输 是 通过 封装 在 结构 体 sk_buff(socket buffer) 中 来 实现 的 。 
该 sk_buff 结构 体 存储 了 数据 包 数 据 和 网 络 栈 中 各 层 的 相关 信息 。LSM 在 该 结构 体 中 
添加 了 一 个 安全 域 。 对 于 LSM 来 说 ,与 该 sk_buff 的 整个 生存 周期 中 相关 的 主要 行为 是 
allocation .copying\cloning, setting ownership to sending socket datagram reception 和 
destruction。LSM 为 每 一 个 行为 提供 了 一 个 相应 的 钧 函数 ,但 是 这 些 钧 函数 的 作用 只 是 
对 sk_buff 中 的 安全 域 进行 维护 管理 ,而 对 该 安全 域 的 编码 、 解 码 和 解释 是 由 socket 层 和 
网 络 层 的 钧 函数 完成 的 。 一 般 而 言 , 只 有 当 数据 包 通 过 不 同 的 网 络 层 需要 进行 状态 维护 
时 才 使 用 sk_buff 钧 函数 和 安全 域 。 

3) 网 络 层 (Network Layer IPv4) 

LSM 在 网 络 层 为 IPv4 提供 了 一 些 钓 函数, 这些 钧 函数 为 如 下 网 络 操作 的 控制 提供 
了 便利 : 集成 的 包 过 滤 ,为 具有 安全 标识 的 网 络 进行 解码 .分 段 数 据 报 的 管理 和 网 络 层 封 
装 (例如 ,安全 IP 通道 )。 利 用 现 有 的 Netfilter 钧 函数 ,可 以 实现 对 IP 数据 报 在 pre- 
routing ,local input forwarding local output 和 post_routing 阶段 的 访问 控制 。 通 过 这 些 
钩 函 数 ,LSM 可 以 截获 标准 的 基于 iptables 的 访问 控制 和 传输 机 制 之 前 和 之 后 的 数据 
包 。 借 用 Netfilter 的 钧 函数 不 会 使 LSM 对 标准 内 核 的 代码 修改 增加 任何 代价 。 

4) 网 络 设备 (Network Devices) 

在 Linux 的 网 络 栈 ,硬件 和 软件 等 网 络 设备 被 封装 在 一 个 net_device 的 结构 体 中 。 
LSM 在 此 结构 体 中 增加 了 一 个 安全 域 ,使 得 可 以 维护 和 控制 每 个 设备 的 安全 状态 信息 。 
在 net_device 结构 中 的 安全 域 是 在 该 结构 第 一 次 使 用 时 的 初始 化 阶段 分 配 的 , 当 该 结构 
被 删除 时 ,就 会 调用 一 个 钧 函数 将 以 前 分 配 的 安全 域 释 放 。 

5) 网 络 连接 (Netlink) 

Netlink socket 是 Linux 特有 的 内 核 与 用 户 空间 的 通信 机 制 , 它 有 些 类 似 BSD 中 的 
route socket, 相 对 更 一 般 化 。 由 于 Netlink 是 一 种 无 连接 通信 而 且 是 非 同步 处 理 的 ,与 应 
用 层 相 关 的 安全 状态 信息 需要 首先 存储 在 Netlink 数据 包 中 ,然后 在 向 内 核 模 块 发 送 时 
进行 检查 。LSM 利用 netlink_send 钩 函 数 存 储 应 用 程序 层 的 安全 状态 信息 , 当 数 据 包 被 
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目的 地 内 核 模块 接收 时 ,用 netlink_recv() 钩 函数 提取 出 安全 状态 信息 并 且 决 定 最 终 的 

6 模块 钩 函 数 (Mbdue Hbcks) 

如 果 LSM 不 对 模块 的 加 载 和 外 载 进行 有 效 控制 , 那 它 必定 是 不 完善 的 。LSM 的 模 
块 钧 函数 为 可 加 载 模块 的 创建 和 初始 化 ,以 及 印 载 提供 了 权限 检查 。 

7. 进程 间 通 信 钩 函数 (IPC Hboks) 

Linux 内 核 提 供 了 标准 的 SysV IPC 机 制 : 共享 内 存 、 信 号 量 和 消息 队列 。LSM 定 
义 了 一 组 IPC 钧 函数 对 内 核 中 IPC 的 访问 进行 控制 。 在 内 核 IPC 结构 体 的 基础 上 ,LSM 
定义 了 一 组 通用 的 钓 函 数 , 并 针对 不 同 的 IPC 客体 分 别 定 义 了 一 组 钧 函数 。 

1) 公共 IPC 钧 函数 (Common IPC Hooks) 

在 内 核 中 , IPC 客体 共享 一 种 客体 数据 结构 , kern_ipc_perm。 该 结构 在 内 核 
ipcperms() 函 数 被 使 用 ,用 来 检查 IPC 权限 。LSM 在 该 结构 中 增加 了 一 个 安全 域 , 并 且 
在 ipcperms() 中 插入 了 一 个 ipc_permission() 钧 图 数 ,使 安全 模块 可 利用 现存 的 控制 点 
对 IPC 的 访问 进行 管理 。LSM 还 定义 了 一 个 ipc_getinfo( ) 钩 函数 控制 对 IPC 客体 信息 
的 查询 。 

2) 客体 关联 IPC 钩 函 数 (Object Specific IPC Hooks) 

LSM 为 不 同 的 IPC 客体 都 定义 了 alloc_security() 和 free_security() 钧 函数 管理 每 
个 客体 数据 结构 kern_ipc_perm 中 的 安全 域 。 一 个 IPC 客体 是 随 着 初始 的 get 请 求 创 建 
的 , 它 触发 了 每 个 不 同 客体 的 alloc_security() 钩 函数 。 如 果 get 请 求 发 现 一 个 已 经 存在 
的 客体 ,就 调用 不 同 客体 相应 的 associate() 钧 函数 进行 权限 检查 ,如 果 成 功 返 回 , 则 返回 
该 客体 。 

IPC 客体 的 控制 命令 ,例如 shmct1(2) 、semct1(2) 和 msgctl(2) 是 通过 不 同 客 体 的 ctl 
钩 函 数 进行 控制 的 。 例 如 , 当 产生 一 个 SHM_LOCK 请 求 时 ,就 调用 shm_shmctl() 钧 函 
数 进行 权限 检查 。 

任何 试图 改变 信号 量 计 数 的 操作 都 被 sem_semop() 钩 函数 所 保护 。 绑 定 一 个 共享 
内 存 数 据 段 的 操作 是 由 shm_shmat() 钧 函数 进行 控制 的 。 对 一 个 消息 队列 的 接收 和 发 
送 消息 是 通过 msg_msgsnd() 和 msg_msgrcv() 进 行 控 制 的 。 像 处 理 消息 队列 一 样 , 对 于 
单个 的 消息 ,LSM 也 对 它 进行 权限 验证 。 当 创建 一 个 新 的 消息 时 , msg_msg_alloc_ 
security() 钓 函数 在 消息 数据 结构 中 分 配 一 个 安全 域 。 在 消息 接收 时 ,msg_msgrcv() 钧 
函数 能 够 对 消息 和 队列 中 的 安全 域 进行 验证 。 


5.5 ”本 章 小 结 


本 章 首先 指出 了 安全 体系 在 安全 内 核 设计 中 的 重要 性 ,分 析 了 安全 体系 的 基本 内 涵 ， 
试图 提供 对 安全 体系 的 一 些 直 观 认识 。 此 外 ,对 安全 体系 设计 的 基本 原则 的 系统 性 的 分 
析 , 以 对 这 些 原则 必要 性 的 认识 也 是 本 章 的 一 个 重点 。 
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本 章 介 绍 了 曾 被 广泛 使 用 的 权能 机 制 , 在 简单 性 和 效率 方面 ,权能 体系 具有 自己 的 优 
势 。 详 细 分 析 了 目前 非常 著名 的 安全 体系 一 一 Flask 体系 ,Flask 体系 支持 多 策略 ,而 且 
支持 策略 的 可 变通 性 。 介 绍 了 Linux 核心 实现 的 灵活 支持 Flask 的 安全 体系 框架 Linux 
Security Module(LSM) ,给 出 了 LSM 设计 思想 、 实 现 方法 和 所 提供 钧 函数 的 调用 说 明 。 


配合 习题 


. 何谓 安全 体系 结构 ? 其 出 现 的 背景 是 什么 ? 

. 安全 体系 结构 主要 类 型 有 哪些 ? 

. 列举 计算 机 系统 安全 体系 结构 设计 的 基本 原则 。 

. 简 述 Flask 安全 体系 结构 。 

什么 是 策略 的 可 变通 性 ? 意义 是 什么 ? 

. 何谓 策略 的 吊销 ? 试 分 析 实 现 的 困难 性 。 

. Flask 体系 和 权能 体系 能 不 能 算 一 个 完整 的 体系 ? 请 说 明理 由 。 

. 分 析 Flask 体系 和 通用 存 取 框架 (GFAC) 之 间 的 关系 。 

. 试 述 软 件 体 系 与 安全 体系 的 关系 。 美 国 国防 部 的 计算 机 系统 安全 评估 准则 及 CC 

标准 中 安全 系统 的 开发 模式 与 软件 系统 的 开发 模式 有 何 异 同 ? 它们 可 以 统一 吗 ? 
10. 试 述 LSM 安全 框架 设计 思想 与 实现 方法 ,以 及 对 Flask 体系 结构 的 支持 。 


A 
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第 6 音 
”形式 化 规范 与 验证 


操作 系统 安全 是 计算 机 系统 安全 和 计算 机 网 络 安全 的 基础 ,所 以 在 信息 系统 中 考虑 
信息 安全 时 ,首先 关注 的 是 操作 系统 的 安全 。 操 作 系 统 安 全 中 的 最 主要 的 方面 是 依据 所 
期 望 的 安全 策略 来 增强 现 有 操作 系统 的 安全 或 者 设计 安全 的 操作 系统 。 实 践 表 明 对 于 前 
者 只 能 达到 较 低 的 安全 级 别 ( 一 般 安 全 级 不 超过 橘 皮 书 所 要 求 的 Bl 级 ), 因 此 常用 形式 
化 的 设计 手段 来 进行 高 等 级 安全 操作 系统 的 设计 。 在 这 个 过 程 中 所 采用 的 主要 手段 是 在 
操作 系统 设计 中 的 采用 形式 化 程序 规范 和 验证 技术 ,从 某 种 程度 上 来 讲 ,程序 规范 和 验证 
技术 已 经 影响 了 安全 操作 系统 的 设计 工作 ,并 且 也 被 操作 系统 安全 领域 内 的 工作 所 影响 。 

由 于 安全 操作 系统 验证 本 身 问题 域 的 内 在 复杂 性 ,所 以 使 得 目前 被 认为 主体 是 软件 
的 操作 系统 一 直 没 有 完全 达到 程序 验证 的 实践 地 步 ,这 些 验证 活动 仅仅 只 是 部 分 地 涉及 
整合 操作 系统 设计 ,这 部 分 通常 称 为 “安全 内 核 ”, 但 是 在 这 部 分 中 已 经 包括 了 足够 多 的 用 
以 保护 自身 和 用 户 文件 免 受 非 授权 存 取 的 关键 函数 调用 。 

在 安全 操作 系统 的 形式 化 验证 中 , 常 采用 具有 可 推理 特性 的 规范 语言 和 相关 辅助 验 
证 工具 来 协助 验证 工作 。 当 前 与 安全 相关 的 形式 化 验证 规范 语言 集 和 工具 主要 有 Gypsy 
验证 环境 (Gypsy Verification Environment,GVE) 形式 化 开发 方法 (Formal Development 
Methodology,FDM) 、 层 次 开发 方法 (Hierarchical Development Methodology, HDM)、 
AFFIRM 以 及 乙 语言 ,其 中 Gypsy 和 FDM 为 橘 皮 书 所 建议 使 用 的 安全 操作 系统 形式 化 
验证 工具 ,特别 是 Gypsy 语言 由 于 其 特有 的 过 程 抽 象 技 术 特性 ,使 其 在 诸如 LOCK 和 
ASOS 等 安全 操作 系统 的 设计 中 得 到 了 较为 成 功 的 应 用 。 而 Z 语言 则 是 近 些 年 比较 活跃 
的 .应 用 范围 较为 广泛 的 一 种 形式 化 验证 工具 ,但 它 在 安全 操作 系统 验证 中 应 用 并 不 是 很 
多 ,较为 有 名 的 就 是 在 DTOS 原型 系统 设计 中 的 应 用 。 由 于 有 多 个 特性 各 异 的 形式 化 验 
证 语言 和 环境 ,所 以 在 安全 操作 系统 开发 过 程 中 的 如 何 选用 具体 形式 化 验证 技术 ,规范 语 
言 和 工具 就 是 一 个 比较 重要 的 问题 。 

形式 化 安全 验证 技术 属于 形式 化 技术 在 安全 信息 系统 规划 .设计 和 开发 过 程 中 的 应 
用 , 它 作为 一 种 形式 化 技术 肯定 具有 一 般 形式 化 技术 的 基本 技术 原理 要 求 和 特点 ,但 是 作 
为 一 种 通用 技术 在 安全 信息 系统 这 一 特定 相关 领域 内 的 应 用 ,特别 是 在 安全 操作 系统 相 
关 领 域 的 应 用 ,要 求 具有 一 些 适 合 该 领域 的 专 有 特性 。 这 主要 是 由 安全 操作 系统 开发 中 
的 特定 问题 域 所 决定 的 。 另 外 ,由 于 历史 的 原因 所 形成 的 适用 于 安全 操作 系统 开发 过 程 
的 形式 化 验证 工具 的 可 利用 性 ,也 是 一 个 选用 适当 形式 化 安全 验证 工具 的 重要 因素 。 

虽然 各 个 形式 化 验证 工具 所 依赖 的 规范 语言 的 数学 注释 、 验 证 规范 等 特性 各 异 ,但 是 
它们 在 安全 操作 系统 设计 和 实现 中 的 验证 目标 和 验证 过 程 都 是 相 类 似 的 ,所 以 首先 从 ] 
式 化 验证 技术 的 原理 看 起 ,依次 对 在 安全 操作 系统 形式 化 验证 过 程 中 所 涉及 的 安全 验证 
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目标 、 安 全 操作 系统 模型 .形式 化 顶层 规范 描述 、 验 证 方法 等 方面 进行 叙述 ,同时 为 了 增强 
对 形式 化 验证 方法 的 实际 使 用 能 力 ,本 章 的 后 半 部 分 重点 以 Gypsy 语言 在 美国 军队 安全 
操作 系统 (The Army Secure Operating System，ASOS) 的 成 功 应 用 实例 为 背景 ,来 介绍 
形式 化 验证 技术 在 安全 操作 系统 中 的 具体 应 用 细节 ,至 于 各 种 形式 化 语言 的 详细 数学 注 
释 和 具体 验证 工具 的 使 用 情况 , 详 见 有 关 参 考 文献 。 


6.1 ”形式 化 安全 验证 技术 原理 


安全 验证 的 形式 化 方法 基于 20 世纪 70 年 代 的 理论 工作 ,在 20 世纪 70 年 代 后 期 和 
20 世纪 80 年 代 初 期 也 随 之 出 现 了 一 些 实验 性 质 的 验证 工具 ,并 在 这 期 间 的 一 些 安全 操 
作 系 统 原型 (SAT, PSOS，Multics) 的 开发 中 得 到 了 应 用 。 随 后 在 20 世纪 80 年 代 的 专 
用 安全 操作 系统 ASOS,20 世纪 90 年 代 的 通用 安全 操作 系统 LOCK ,以 及 以 LOCK 作为 
安全 底座 的 邮件 服务 器 (CSMG)? 和 商用 互联 网 防火 墙 (Sidewinder) 的 开发 中 得 到 了 更 为 广 
泛 .深入 的 应 用 。 


611 形式 化 验证 技术 


形式 化 验证 技术 的 目标 在 于 提供 一 种 方式 :“ 人 允许 在 一 个 计算 机 系统 的 功能 规范 、 开 
发 过 程 和 验证 过 程 中 使 用 一 种 严格 的 数学 注释 。 使 用 一 种 形式 化 规范 语言 去 描述 一 个 系 
统 以 使 得 它 的 一 致 性 、 完 备 性 和 正确 性 可 以 用 一 种 系统 的 方式 来 获得 ”。 证 明 检查 器 和 模 
型 检查 器 是 主要 用 以 完成 上 述 目标 的 两 类 工具 。 

证 明 检 查 器 (有 时 也 称 为 定理 证 明 器 ) 是 不 断 地 把 从 好 辑 和 集合 理论 中 所 得 来 的 定理 
应 用 到 一 个 假设 集 上 ,直到 一 个 所 期 望 的 目标 被 达到 ;模型 检查 器 则 用 以 枚 举 一 个 系统 可 
以 处 于 的 所 有 可 能 状态 ,并 且 依据 由 用 户 所 规定 的 规则 和 条 件 来 检查 每 一 个 状态 的 合法 
性 。 从 报告 问题 的 角度 来 看 ,使 用 符号 逻辑 的 证 明 检 查 器 将 报告 在 一 个 特定 证 明 中 哪 一 
步 是 非法 的 ,而 使 用 有 限 状 态 机 的 模型 检查 器 将 报告 哪 一 步 导 致 了 一 个 非法 状态 。 

如 同 其 名 字 所 示 ,证 明 检 查 器 它们 自己 并 不 产生 整个 证 明 , 而 是 仅仅 辅助 用 户 从 一 个 
代数 规范 中 构造 一 个 证 明 , 并 且 自 动 执 行 一 个 定理 证 明 过 程 中 的 元 长 部 分 。 这 就 意味 着 
用 户 自己 必须 自始至终 知道 如 何 去 实 践 证 明 , 在 这 个 过 程 中 定理 证 明天 仅仅 起 到 了 辅助 
作用 。 所 以 要 求 用 户 需要 知道 足够 多 的 数学 知识 用 以 构造 证 明和 进行 证 明 ,而且 它 们 必 
须 能 够 识别 为 证 明 融 所 登记 的 错误 途径 的 实例 。 因 为 证 明 器 无 法 自动 完成 证 明 , 所 以 从 
证 明 检查 器 的 行为 中 用 户 不 可 能 识别 一 个 证 明 是 处 于 即将 被 完成 的 过 程 中 ,还 是 在 一 个 
不 可 能 被 完成 的 证 明 中 ,这 种 实际 情况 使 证 明 检查 器 稍微 难以 使 用 。 

和 证 明 检 查 器 相反 ,模型 检查 器 作用 在 一 个 系统 的 一 个 特定 模型 上 (通常 是 一 个 有 限 
状态 机 ), 枚 举 系统 可 以 进入 的 每 一 个 状态 并 且 依 据 一 定 的 约束 来 检查 这 个 状态 。 一 个 状 
态 机 使 用 具有 值 返回 函数 (V-functions ,提供 这 个 状态 的 细节 ) 的 状态 和 具有 观察 函数 
(O-functions, 定 义 变换 ) 的 变换 来 定义 。 一 个 观察 函数 通过 改变 由 一 个 值 函数 所 返回 的 
有 关 这 个 状态 的 细节 来 工作 的 。 在 Inajo 验证 系统 中 ,观察 函数 被 用 来 为 一 个 验证 条 件 
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产生 器 提供 输入 和 输出 的 断言 ,因为 随 着 系统 复杂 度 的 增加 系统 状态 是 以 指数 增长 的 ,所 
以 模型 检查 器 易于 产生 不 可 忍受 的 资源 竞争 现象 。 当 模型 检查 器 由 于 内 存 耗 尽 而 无 法 发 
现任 何 问题 时 ,对 于 这 个 问题 的 一 个 解决 办 法 或 是 求助 于 使 用 一 个 证 明 检 查 器 ,或 是 同时 
结合 使 用 这 两 种 不 同 的 、 互 为 补充 的 形式 化 方法 ,以 期 一 种 方法 的 长 处 将 会 克服 另 一 种 的 
不 足 之 处 。 另 外 ,一 个 可 选 的 解决 办 法 是 通过 应 用 更 多 数量 的 抽象 来 克服 状态 爆炸 问题 。 
例如 在 一 个 具有 2” 个 状态 的 模型 中 ,要 完全 搜索 完 所 有 状态 约 需 102 年 ,但 是 如 果 将 系 
统 进一步 划分 为 等 价 类 (这 里 假设 它们 之 间 是 互相 独立 的 ,所 以 它们 可 以 单独 验证 ) ,并 且 
剔除 模型 中 与 一 致 性 验证 过 程 关系 并 不 密切 的 信息 的 手段 , 则 仅 产 生 6 个 合法 性 类 (在 每 
一 个 合法 性 中 大 约 需 要 检查 100 000 个 状态 ) ,这 就 比较 容易 检查 所 有 的 状态 空间 。 


612 与 安全 操作 系统 开发 相关 的 形式 化 验证 技术 


在 安全 操作 系统 开发 中 ,可 用 形式 化 规范 与 形式 化 验证 等 形式 化 开发 手段 来 提高 系 
统 的 可 信 程 度 。 一 般 来 说 形式 化 验证 可 分 为 两 个 基本 阶段 ,及 形式 化 安全 策略 模型 和 形 
式 化 规范 之 间 一 致 性 验证 ,以 及 形式 化 规范 和 系统 具体 代码 实现 之 间 的 对 应 性 验证 。 在 
当前 的 技术 手段 和 理论 水 平 下 ,对 于 系统 实现 和 形式 化 规范 之 间 的 一 致 性 证 明 还 不 太 常 
见 , 其 主要 原因 在 于 虽然 从 大 的 方面 来 讲 ,进行 系统 实现 和 形式 化 规范 之 间 的 一 致 性 验证 
在 技术 和 方法 上 都 没有 本 质 性 的 差异 ,但 是 由 于 系统 实现 的 复杂 性 ,使 这 个 方面 的 一 致 性 
形式 化 验证 主要 处 于 对 系统 内 核 进行 验证 的 层次 和 规模 上 ,在 没有 更 加 先进 的 技术 和 辅 
助 验证 工具 出 现 之 前 ,显然 这 种 情况 还 得 维持 很 长 时 间 。 

形式 化 规范 的 目的 在 于 通过 精确 而 又 清晰 的 、 可 进行 计算 机 处 理 的 方法 描述 系统 的 
功能 。 用 计算 机 处 理 是 为 了 减少 对 规范 进行 形式 化 验证 时 所 可 能 产生 的 人 为 错误 ,从 而 
提高 人 们 对 于 所 验证 系统 的 信心 。 形 式 化 规范 可 用 于 检验 与 系统 设计 有 关 的 很 多 部 分 ， 
但 在 这 里 只 关心 形式 化 规范 与 系统 安全 特性 相关 的 部 分 。 

在 一 个 形式 化 的 规范 中 ,层次 概念 通常 是 一 个 用 于 简化 问题 复杂 度 的 最 主要 手段 ,如 
图 6-1 所 示 。 采 用 规范 层 结构 的 目的 在 于 用 来 将 


模型 和 代码 间 的 巨大 差别 划分 为 一 些小 的 ,易于 2 

掌握 的 部 分 。 在 这 种 层次 结构 中 ,顶层 是 模型 , 底 | 规范 的 至 性 

层 是 代码 ,层次 之 间 的 证 明 用 于 保证 从 上 到 下 的 。 [项 层 规范 

一 致 性 。 以 规范 层 结构 为 基础 对 系统 进行 层次 划 让 朋 

分 的 几 种 技术 手段 将 在 本 章 后 面 论述 。 中 层 规 苍 形式 化 规范 
具体 到 安全 操作 系统 的 设计 中 ,形式 化 验证 。 en | 

可 以 分 为 几 个 详细 不 同 的 阶段 按 实际 要 求 和 技术 。 议 

能 力 分 步 进 行 ,形式 化 验证 是 在 形式 化 模型 的 基 | 

础 上 进行 的 。 如 果 说 模型 的 形式 化 验证 表明 将 要 ”证明 出 斌 人 

设计 的 系统 所 依赖 的 安全 数学 模型 是 完备 的 并 且 贡 现 

一 致 的 ,那么 对 于 规范 的 形式 化 验证 则 是 试图 把 二 


这 种 安全 性 保证 带 到 系统 的 具体 实现 中 。 
一 般 认为 一 个 安全 操作 系统 的 形式 化 设计 首先 是 从 形式 化 规范 (FTLS) 设 计 开 始 
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的 ,形式 化 规范 的 目标 在 于 使 用 一 种 简洁 的 、 无 二 义 的 且 可 被 计算 机 处 理 的 方式 描述 系统 
的 功能 行为 。 在 这 其 中 首先 要 对 系统 安全 模型 进行 必要 的 改写 、 扩 充 , 以 便 形成 一 个 形式 
化 顶层 规范 (FTLS) ,在 这 个 形式 化 顶层 规范 中 包含 了 用 数学 可 验证 形式 来 表示 的 安全 
策略 。 为 了 确保 形式 化 顶层 规范 的 正确 性 ,接着 必须 进行 形式 化 顶层 规范 与 系统 安全 模 
型 之 间 的 一 致 性 证 明 。 类 似 地 ,形式 化 顶层 规范 被 改写 ,扩充 为 更 为 详细 地 形式 化 高 层 规 
范 ,并 且 证 明 形 式 化 高 层 规范 的 正确 性 。 理 论 上 这 个 过 程 可 以 一 直 进 行 下 去 ,结果 是 形成 
了 一 系列 的 逐次 盖 进 的 低层 次 的 形式 化 规范 ,直到 一 个 实现 变 成 实际 代码 的 层次 被 达到 。 

但 是 往往 从 底层 形式 化 规范 到 代码 的 形式 化 验证 中 ,所 采用 的 技术 和 其 他 高 层 规范 
之 间 所 采用 的 验证 技术 是 不 同 的 ,这 就 需要 引入 异 质 的 验证 方式 和 工具 (和 前 面 在 较 高 层 
规范 一 致 性 验证 过 程 中 所 采用 技术 不 同 ) ,这 就 增加 了 系统 验证 的 复杂 性 从 而 需要 许多 额 
外 的 开销 。 在 这 一 点 上 相对 而 言 ,Gypsy 验证 系统 由 于 本 身 的 一 些 特殊 特性 ,使 得 它 可 以 
应 用 在 安全 操作 系统 形式 化 设计 的 各 个 阶段 。 这 也 是 Gypsy 为 什么 被 广泛 应 用 于 安全 
操作 系统 设计 的 一 个 重要 因素 。 

下 面 主要 介绍 形式 化 验证 中 的 层次 分 解 技术 ,主要 包括 数据 结构 精 化 .算法 精 化 和 过 
程 抽象 等 。 


613 形式 化 验证 中 的 层次 分 解 技术 


如 前 所 述 ,几乎 所 有 主流 形式 化 验证 系统 都 显 式 地 支持 规范 的 某 种 形式 的 层次 开发 
方式 。 层 次 方法 使 得 从 最 高 层 或 者 最 抽象 层 向 下 分 步 实施 一 个 验证 变 得 容易 些 。 一 般 来 
说 ,一 个 具体 的 安全 操作 系统 的 表示 方式 从 抽象 到 具体 可 以 为 : 

。 安全 模型 ; 

。 形式 化 规范 ; 

。 实现 。 

此 时 形式 化 安全 验证 的 主要 目的 是 ,用 以 表明 这 个 安全 操作 系统 的 三 个 不 同 抽象 程 
度 的 表示 方式 是 内 在 一 致 性 的 。 由 于 在 安全 模型 和 实现 之 间 存 在 着 巨大 的 跨度 ,这 时 仅 
用 一 个 单独 层 的 形式 化 规范 处 理 这 之 间 存 在 的 过 多 细节 ,显然 是 过 度 复 杂 的 ,于 是 就 要 求 
在 形式 化 验证 过 程 中 采用 层次 分 解 技 术 。 形 式 化 验证 中 的 层次 分 解 技术 通常 是 从 一 个 规 
模 相 对 小 的 抽象 的 高 层 规范 开始 ,然后 在 几 个 包括 越 来 越 多 设计 细节 的 验证 阶段 中 不 断 
对 这 个 规范 进行 精 化 ,直到 一 个 可 以 直接 导出 具体 的 实现 代码 的 层次 为 至 ,这 样 在 这 个 过 
程 中 形成 了 规范 的 几 个 层 。 这 些 不 同 层 次 的 规范 一 般 是 通过 对 算法 和 数据 结构 进行 不 断 
精 化 得 到 的 ,此 外 在 Gypsy 验证 环境 中 还 采取 了 一 种 特有 的 过 程 抽象 技术 。 下 面 分 别 介 
绷 官 们 。 

1. 数据 结 构 精 化 

在 安全 操作 系统 的 形式 化 验证 中 ,数据 结构 精 化 通常 应 用 在 层次 开发 机 制 (FDM) 
中 , 它 使 用 了 一 个 在 不 同 抽 象 层次 上 的 细节 精 化 。 每 一 个 规范 层 都 是 一 个 可 以 完整 描述 
该 系统 的 状态 机 。 顶 层 规范 是 最 抽象 的 ,通常 它 在 一 些 简 单 的 函数 中 包含 了 多 种 数据 类 
型 .变量 和 函数 。 第 二 层 增 加 了 一 些 细节 ,有 可 能 把 在 顶层 的 关于 主 、 客 体 的 全 局 函数 划 
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分 为 关于 每 一 类 别 的 具体 客体 的 具体 函数 。 一 旦 第 二 层 写 好 并 完成 与 高 一 层 对 应 (如 同 
规范 与 模型 的 对 应 一 样 ) 的 一 致 性 验证 后 ,高 层 的 形式 化 规范 就 不 再 需要 了 ,此 时 第 二 层 
是 对 系统 更 具体 的 描述 , 当 它 满足 映射 的 不 变量 和 约束 时 , 它 也 满足 与 顶层 同样 的 安全 
性 质 。 

类 似 地 ,可 以 在 紧 接 着 的 下 一 层 增加 更 多 的 细节 ,也 可 以 有 更 多 的 函数 。 一 旦 增加 一 层 
并 且 与 上 一 层 的 完全 对 应 (一 致 性 ) 得 到 证 明 时 ,那么 上 一 层 也 就 不 需要 了 (除非 有 时 想 修改 
和 重新 证 明 底 层 )。 底 层 ( 与 实现 最 接近 的 那 一 层 ) 也 许 与 代码 中 的 变量 和 函数 相当 一 致 ,对 
系统 接口 进行 了 非常 精确 和 详细 的 描述 ,要 求 根据 这 个 描述 设计 者 能 实现 这 个 系统 。 

数据 结构 优化 技术 并 未 提供 任何 系统 内 部 设计 的 线索 ,最 底层 描述 也 仅仅 描述 了 系 
统 接口 而 并 未 表明 应 该 如 何 设计 。 要 建造 与 自 变 量 一 致 的 可 靠 代 码 , 使 下 面 的 软件 精确 
地 实现 这 个 规范 ,必须 用 传统 的 软件 工程 技术 (如 代码 检查 和 代码 测试 ) 来 保证 实现 与 底 
层 规 范 之 间 的 一 致 性 。 

2 算法 精 化 

和 数据 结构 精 化 技术 相反 (数据 精 化 技术 的 最 底层 规范 表示 了 系统 的 外 观 ), 如 
表 6-1 所 示 的 在 HDM 中 用 到 的 算法 精 化 技术 ,可 以 说 明 一 些 系统 的 内 部 结构 。 这 种 技 
术 把 系统 看 作为 一 系列 分 层 的 抽象 状态 机 ,每 个 状态 机 (处 于 特定 层 上 的 状态 机 ) 构 造 一 
套 为 高 层 状态 机 所 使 用 的 函数 ,状态 机 中 每 一 个 函数 都 包括 了 一 个 受 上 层 状 态 机 函数 调 


用 的 抽象 程序 ,最 底层 的 状态 机 提供 系统 最 基本 的 函数 一 一 那些 再 不 能 被 分 解 的 函数 。 
表 6-1 算法 精 化 
层 形式 化 规范 抽象 程序 
系统 接口 
Y 
顶层 抽象 机 (接口 规范 ) Wa Pron 
N ee call An-1 call BN- 
f B call Cn-i call An-1 
0 return return 
中 间 层 抽象 机 (接口 规范 ) proc An-i proc Bn-i proc Cn 
fe call AN -2 call By-» call Cn-s 
N—1 f B call Cn-: call AN-: return 
c return call AN-， 
ee return 
N—2 中 间 层 抽象 机 proc AN-* proc Bn-» proc CN-… 
1 中 间 层 抽象 机 proc Ai proc Bi 
0 底层 抽象 机 proc Ao proc Bo… 


在 表 6-1 中 ,使 用 定义 分 层 抽 象 机 的 方法 能 使 系统 内 部 结构 模型 化 (在 顶层 接口 卡 之 
下 ) ,顶层 机 提供 了 系统 接口 可 见 的 功能 。 
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抽象 状态 机 的 概念 可 用 一 个 实现 文件 系统 的 三 层 状 态 机 的 例子 说 明 , 如 表 6-2 所 示 。 
在 表 6-2 所 示 的 三 层 抽 象 状态 机 中 ,最 底层 的 状态 机 (状态 机 0) 只 知道 磁盘 、 磁 盘 块 和 内 


disk block read (disk name,block address,buffer address) 
而 对 于 文件 和 存 取 控制 的 概念 一 无 所 知 。 
表 6-2 三 层 状态 机 系统 示例 


抽象 状态 机 数据 结构 功 能 
状态 机 2 文 炎 : 有 目录 创建 (删除 ) 文 件 /目录 , 读 ( 写 ) 文 件 , 存 取 控制 功能 
状态 机 1 文件 文件 描述 符 创建 (删除 文件 , 读 ( 写 ) 文 件 
状态 机 0 磁盘 块 读 ( 写 ) 磁 盘 块 


状态 机 1 提供 一 个 原始 的 平面 文件 系统 ,包括 文件 系统 管理 程序 的 典型 函数 : 


file descriptor= open(file index) 

file read (file descriptor,offset,buffer) 

这 里 file_index 是 指向 磁盘 文件 的 一 个 整数 ,状态 机 1 中 的 函数 包括 利用 状态 机 的 
函数 从 磁盘 块 生成 文件 系统 的 抽象 程序 ,利用 (存储 在 磁盘 块 上 的 ) 文 件 索引 跟踪 多 个 文 
件 , 以 利于 内 存 中 的 文件 描述 程序 跟踪 打开 的 文件 。 

状态 机 2 实现 了 包括 目录 和 目录 中 文件 的 分 层 文件 系统 , 它 以 字符 方式 提供 文件 名 ， 
并 有 控制 文件 存 取 的 功能 , 它 用 状态 机 1 的 文件 产生 存储 文件 名 和 存 取 控 制 信息 的 目录 。 
在 算法 精 化 技术 中 最 高 层 状态 机 实现 的 是 系统 接口 ,接口 的 每 一 次 函数 调用 导致 了 对 低 
层 状态 机 函数 的 一 系列 调用 。 

当 用 这 种 技术 写 形式 化 规范 时 ,要 为 每 个 抽象 状态 机 写 两 样 东 西 : 一 个 是 形式 化 的 
状态 机 规范 ,该 规范 类 似 与 在 数据 结构 优化 技术 中 的 那 种 单 层 规范 ; 另 一 个 是 状态 机 中 各 
个 函数 的 抽象 程序 , 它 通过 对 低层 状态 机 的 函数 调用 提供 了 函数 的 算法 规范 。 使 用 这 种 
规范 的 代码 一 致 性 检验 需要 证 明 各 层 中 的 抽象 程序 与 系统 中 的 实际 程序 一 致 。 

用 这 些 技术 开发 出 来 的 规范 的 证 明 , 首 先 需 要 检验 最 高 层 状态 机 的 规范 与 模型 一 致 ， 
这 与 在 数据 结构 精 化 技术 中 用 于 检测 规范 所 用 的 方法 一 样 。 然 后 已 知 较 低 一 层 状态 机 的 
函数 规范 ,必须 检验 最 高 层 状态 机 的 抽象 程序 正确 地 实现 了 它 的 规范 ,就 像 检验 各 层 间 映 
射 的 一 致 性 一 样 (实际 上 两 者 区 别 很 大 ) , 往 下 重复 这 个 进程 直到 最 底层 。 这 里 还 得 假设 
最 底层 原始 状态 机 的 形式 化 规范 已 被 正确 实现 。 在 整个 检验 中 ,有 必要 定义 每 个 状态 机 
的 数据 结构 如 何 与 相 邻 低层 的 状态 机 对 应 。 

实际 系统 中 的 每 一 层 与 形式 化 规范 中 的 每 一 层 一 致 ,其 中 的 功能 与 抽象 程序 中 的 功 
能 紧密 对 应 ,结果 是 在 这 种 情况 中 ,规范 与 代码 一 致 性 的 讨论 应 比 在 数据 结构 精 化 技术 中 
仅 有 接口 规范 时 容易 。 在 整个 检验 中 ,有 必要 定义 每 个 状态 机 的 数据 结构 是 如 何 与 相 邻 
低层 的 状态 机 对 应 。 

但 是 算法 精 化 技术 也 有 几 个 缺点 ,使 得 它 更 多 地 被 应 用 在 理论 上 而 非 实际 中 (虽然 已 
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有 实际 系统 的 某 些 部 分 已 用 这 种 技术 开发 出 来 ,并 且 显 示 了 和 良好 的 前 景 )。 最 主要 的 一 个 
缺点 是 抽象 算法 证 明 十 分 困难 ,原因 在 于 检验 一 个 算法 比 检验 一 个 映射 要 困难 得 多 ,而且 
这 种 证 明 除 了 针对 相当 小 算法 的 证 明之 外 ,利用 它 进行 其 他 规模 的 稍微 复杂 一 点 的 证 明 
几乎 是 不 可 能 的 。 理 论 上 来 讲 , 对 抽象 程序 的 证 明和 对 具体 程序 的 检验 做 法 相差 不 多 , 相 
对 而 言 ,由 于 抽象 程序 能 用 高 度 限 制 性 的 语言 书写 ,所 以 在 证 明 中 不 必 涉 及 实际 程序 设计 
中 的 许多 细节 ,因此 对 抽象 程序 的 证 明 应 该 容易 一 点 。 
算法 精 化 的 另 一 个 缺点 是 顶层 规范 的 数据 结构 精 化 
结构 非常 复杂 ,因为 它 表 示 子 系统 的 实际 接 | 
口 。 由 于 这 种 规范 与 真实 系统 是 如 此 接近 ， 项 汪 规 总 
在 直接 检验 它 与 模型 的 一 致 性 时 ,与 在 数据 
结构 精 化 技术 中 所 面临 的 问题 时 相同 的 ,都 “| 。 中 四 民风 算法 本 化 
需要 在 模型 与 代码 之 间 提 供 单一 的 ,非常 详 低层 规范 = | 顶层 抽象 状态 机 
细 的 规范 。 但 是 这 个 缺点 并 非 致命 的 ,因为 一 一 一 一 一 一 : 
在 顶层 抽象 状态 机 之 上 应 用 多 层 数据 结构 中 间 层 抽象 状态 机 
技术 不 受 任何 限制 (如 图 6-2 所 示 ) ,利用 这 
种 方法 ,可 以 两 全 其 美 。 低层 抽象 状态 机 
图 6-2 说 明 ,数据 结构 精 化 与 算法 精 化 数据 结构 精 化 与 筑 法 精 化 技术 的 结合 可 以 相 得 益 萌 
技术 的 结合 可 以 相得益彰 。 


3. 过 程 抽象 

Gypsy 的 形式 化 规范 技术 又 称 为 过 程 
抽象 。Gypsy 用 一 组 嵌 套 的 过 程 调用 直接 按 系 统 实现 的 方式 建立 系统 的 抽象 模型 。 在 算 
法 精 化 技术 中 ,每 一 个 Gypsy 规范 中 的 函数 与 实现 时 的 函数 是 等 价 的 ,但 是 Gypsy 并 不 
需要 HDM 那样 分 层 建立 系统 。Gypsy 规范 中 的 函数 说 明了 如 何 控制 它 的 自 变量 ,但 并 
未 说 如 何 影 响 系统 的 全 局 状态 。 此 外 ,Gypsy 比 HDM 和 FDM 更 深入 一 步 ,允许 定义 系 
统 每 一 个 内 部 过 程 的 函数 ,而 不 仅仅 是 系统 的 接口 或 各 层 的 接口 。 

因为 Gypsy 规范 与 代码 如 此 一 致 (实际 上 ,Gypsy 语言 含有 类 Pascal 程序 设计 语 
言 ) ,Gypsy 更 应 该 被 视 为 一 个 程序 检验 系统 而 不 是 形式 化 规范 系统 ,但 Gypsy 允许 写 没 
有 代码 的 规范 ,目的 在 于 不 写 程序 就 能 检验 这 些 规范 的 抽象 性 质 。 用 这 种 方法 时 顶层 过 
程 的 规范 能 从 系统 外 得 到 ,这 与 HDM 中 顶层 接口 机 制 的 规范 和 FDM 中 的 底层 接口 规 
范 类 似 。 

现在 的 现状 是 Gypsy 在 安全 系统 ,特别 是 安全 操作 系统 的 开发 中 是 用 得 最 多 的 形式 
化 方法 ,所 以 将 在 6. 3 节 对 其 进行 较为 详细 的 介绍 。 


6.2 ”形式 化 安全 验证 系统 结构 


图 6-2 规范 技术 的 综合 


式 化 安全 验证 系统 又 称 为 安全 规范 和 安全 验证 系统 ,它们 至 少 由 下 列 组 件 来 构成 : 
。 规范 语言 处 理 器 ; 
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。 验证 条 件 生成 器 ; 
。 定理 证 明 咒 。 


621 规范 语言 和 处 理 器 


规范 语言 是 指 从 数学 .逻辑 和 程序 设计 中 派生 出 的 形式 化 注释 ,它们 的 目的 是 用 一 种 
简捷 的 详细 方式 精确 地 陈述 由 一 个 给 定 程 序 系统 所 提供 的 功能 。 出 于 和 软件 工具 相 兼 容 
的 目的 ,这 些 语言 的 语法 已 经 被 修改 使 其 具有 适合 机 器 处 理 的 形式 。 用 这 样 的 语言 所 写 
成 的 规范 就 叫做 “形式 化 ”规范 ,以 便 和 那些 依赖 于 自然 语言 描述 的 规范 相 区 别 。 现 在 有 
把 “规范 ”一 词 用 作 包 括 那 些 不 在 实现 和 编程 语言 中 出 现 的 所 有 东西 的 趋势 ,但 是 除非 特 
别 指出 ,这 里 仅 在 狭义 上 使 用 这 个 词 , 意 指 “ 功 能 规范 ”。 一 个 功能 规范 是 对 一 个 系统 的 输 
出 是 如 何 和 它 的 输入 自 恰 的 描述 。 

从 抽象 系统 属性 到 程序 断言 这 个 形式 化 验证 过 程序 列 来 看 ,不 同 验 证 系统 中 的 规范 
范畴 是 相当 不 同 的 。 但 是 现 有 的 验证 系统 大 都 支持 “模块 ?规范 的 形式 ,这 种 形式 的 规范 
可 以 看 作为 与 一 个 通用 数据 结构 一 起 工作 的 子 例 程 操作 集 , 并 且 用 这 些 语言 写成 的 规范 
是 非 过 程 化 的 。 

虽然 编程 语言 也 可 以 用 于 书写 规范 ,但 是 要 在 不 损害 用 于 规范 的 ,为 验证 过 程 所 需 的 
信息 的 前 提 下 ,消除 一 个 程序 中 的 实现 细节 是 很 困难 的 ,而 且 那 些 没 有 清晰 语义 的 编程 语 
言 断言 也 很 难 达到 精确 描述 这 一 规范 目标 。 

一 个 规范 处 理 器 可 以 仅 对 规范 进行 语法 检查 ,也 可 以 产生 用 以 表示 安全 性 .一致 性 或 
者 其 他 特性 的 逻辑 表达 式 或 者 公式 。 


622 验证 条 件 生成 器 


验证 条 件 生成 器 (VCGs) 在 当前 程序 验证 方式 中 扮演 了 一 个 不 可 或 缺 的 角色 。 一 个 
条 件 产生 器 把 一 个 程序 和 有 关 这 个 程序 的 一 些 断言 是 作为 输入 ,生成 用 以 宣称 这 两 者 是 
一 致 的 公式 。 通 过 把 有 关 程 序 变 量 值 的 断言 插入 到 不 同 点 的 方式 ,一 个 程序 就 被 准备 为 
一 个 验证 条 件 生成 器 的 输入 。 最 少 来 说 ,在 程序 体 的 入 口 处 有 一 个 进入 断言 ,并 且 在 程序 
退出 的 地 方 有 一 个 退出 断言 ,这 里 假定 在 执行 前 如 果 进 入 断言 是 真 的 , 则 在 执行 后 退出 断 
言 也 将 是 真 的 (进入 和 退出 断言 通常 是 从 程序 的 形式 化 规范 中 导出 )。 另 外 ,在 程序 中 的 
每 一 个 循环 必须 为 一 个 循环 断言 所 * 截 ”>。 循 环 断 言 依赖 于 程序 实现 细节 ,所 以 有 时 创建 
既 精确 又 强壮 的 循环 断言 是 很 难 的 。 对 于 在 程序 中 相 邻 两 个 断言 之 间 的 每 一 个 途径 ,一 
个 条 件 生成 器 都 为 之 创建 一 个 公式 (验证 条 件 ) ,这 个 公式 声称 如 果 第 一 个 断言 为 真 , 则 第 
二 个 断言 也 为 真 ,并 且 介 于 这 两 个 断言 之 间 的 、 将 被 执行 的 代码 也 将 是 正确 的 。 如 果 所 有 
的 验证 条 件 都 可 以 被 证 明 , 则 程序 就 是 部 分 正确 的 。 因 此 为 了 得 到 完全 正确 性 ,还 得 要 求 
一 个 附加 的 终止 证 明 , 也 就 是 说 这 个 程序 不 含有 死 循 环 ,是 可 终止 的 。 由 于 形式 化 验证 系 
统 中 的 证 明 规则 和 公理 指定 了 程序 断言 的 语义 ,所 以 验证 条 件 是 在 证 明 规 则 或 者 公理 的 
帮助 下 产生 的 。 
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623 定理 证 明 器 


一 个 定理 证 明 器 用 于 处 理由 一 个 规范 处 理 器 ,或 者 一 个 验证 条 件 生成 器 所 产生 的 公 
式 。 不 同形 式 化 验证 系统 中 的 定理 证 明 器 对 于 从 用 户 处 获得 协助 的 数量 和 类 型 的 要 求 是 
各 不 相同 的 ,一 些 需要 高 度 的 人 机 交互 ,而 其 他 仅仅 接受 用 于 定理 证 明 的 .以 公理 或 者 其 
他 建议 形式 来 表示 的 帮助 。 在 这 里 不 准备 对 各 种 主流 的 定理 证 明 器 进行 深入 比较 ,具体 
内 容 请 参见 各 自 相 关 的 验证 环境 手册 。 


6.3 ”一 个 形式 化 验证 技术 在 安全 操作 系统 
内 核 设计 中 的 应 用 实例 


LOCK、ASOS 和 DTOS 被 公认 为 形式 化 验证 方法 在 系统 设计 中 应 用 较为 成 功 的 几 
个 项 目 , 前 两 者 使 用 Gypsy 验证 方法 学 ,后 者 使 用 Z 语言 作为 规范 语言 ,其 中 LOCK 的 开 
发 历时 十 多 年 业已 初步 达到 了 通用 操作 系统 的 可 用 性 ,这 说 明 把 形式 化 规范 语言 特别 是 
Gypsy 规范 应 用 于 高 等 级 安全 操作 系统 的 设计 是 可 行 的 。ASOS 和 LOCK 项 目 中 所 采 
用 的 形式 化 验证 策略 基本 上 是 相同 的 ,所 以 在 这 里 主要 以 ASOS 项 目 为 例 说 明 形 式 化 规 
范 语言 在 安全 操作 系统 设计 中 的 应 用 。 

在 本 节 中 首先 介绍 Gypsy 验证 环境 .ASOS 项目 背景 以 及 保障 目标 概览 ,较为 详细 
地 说 明了 ASOS 安全 模型 和 形式 化 顶层 规范 的 形成 方法 ,最 后 具体 描述 对 于 ASOS 安全 
内 核 的 验证 过 程 ,以 期 对 一 个 具体 安全 操作 系统 内 核验 证 过 程 的 各 个 方面 有 一 个 较为 全 
面 的 认识 。 


631 @ypsy 验证 环境 (G/B 简介 


Gypsy 验证 环境 (GVE) 是 美国 得 克 萨 斯 州立 大 学 计算 机 科学 和 计算 机 应 用 学 院 在 
D. I. Good 教授 的 指导 下 开发 的 , 始 于 1974 年 ,起 先是 为 了 满足 建造 具有 很 高 可 靠 性 的 
用 以 实现 关键 功能 的 小 规模 系统 在 正确 性 验证 方面 的 需求 。 

Gypsy 方法 学 以 结构 化 程序 设计 、 递 归 证 明和 规范 方法 为 基础 ,提供 了 一 种 形式 化 设 
计 和 验证 的 集成 环境 。 这 种 集成 从 横向 来 看 ,主要 是 程序 设计 规范 方法 和 证 明 方法 的 集 
成 ,从 纵向 上 来 看 则 是 实现 方法 .语言 和 工具 的 集成 。 集 成 的 结果 是 形成 一 种 形式 化 验证 
语言 ,其 称 为 Gypsy。 

Gypsy 形式 化 验证 环境 (GVE) 的 突出 特点 主要 表现 在 以 下 几 个 方面 : 第 一 ,可 以 在 
规范 、 实 现 和 验证 过 程 中 采用 增 量 和 并 行 的 处 理 手 段 , 是 这 种 语言 和 验证 方法 的 一 个 十 分 
有 用 的 重要 特性 。 第 二 ,GVE 验证 系统 也 支持 自动 证 明 , 主 要 是 通过 对 并 发 存 取 控制 、 例 
外 处 理 和 数据 抽象 等 的 支持 实现 的 。 第 三 ,特别 需要 指出 的 是 ,组 成 Gypsy 系统 的 语言 
和 工具 既 不 隐 含 一 个 特定 的 开发 策略 又 不 假设 任何 诸如 多 级 安全 那样 的 特定 应 用 ,而 且 
验证 环境 的 不 但 可 以 用 于 设计 证 明 , 而 且 也 擅长 处 理 实现 证 明 。 正 是 由 于 GVE 系统 具 
有 这 些 十 分 实用 的 重要 特性 ,使 它 在 高 等 级 安全 操作 系统 的 开发 中 得 到 了 较为 成 功 的 
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应 用 。 
和 许多 其 他 可 用 于 安全 操作 系统 设计 的 形式 化 验证 系统 相 比较 ,GVE 是 一 个 相对 比 
较 完 备 的 验证 系统 ,其 主要 包括 一 个 语法 指导 编辑 器 、 一 个 语法 分 析 器 、 一 个 验证 条 件 生 
成 器 .一 个 定理 证 明 咒 .一 个 执行 程序 和 一 个 单独 的 编译 器 。GVE 的 结构 如 图 6-3 所 示 。 


用 户 指令 
了 
Opiy 执行 体 |- ~ 程序 描述 库 


| | 1 | | 


Gypsy 语法 指导 | [验证 条 件 | 「 编译 文件 
词法 分 析 器 | | 编辑 器 生成 器 | “| 定理 证 明 器 | | 生成 器 


化 简 器 编译 文件 


图 6-3 ”Gypsy 验证 环境 组 成 


语法 指示 编辑 器 允许 用 户 直接 编辑 用 于 语法 分 析 的 Gypsy 语句 ,语法 分 析 器 通过 检 
查 Gypsy 规范 , 找 出 可 能 的 语法 和 语义 错误 ,并 且 生 成 一 个 可 用 于 系统 其 他 部 分 的 中 间 
形式 的 代码 。 验 证 条 件 生成 器 首先 确定 通过 一 个 例 程 (或 者 函数 ) 的 所 有 途径 ,然后 为 每 
一 个 途径 生成 一 个 验证 条 件 。 定 理 证 明 器 试图 证 明 每 一 个 定理 ,执行 程序 则 负责 协调 其 
他 部 件 ,提出 可 能 的 行动 建议 和 处 理 终端 通信 。 另 外 .还 有 一 个 单独 的 交叉 编译 器 用 于 接 
收 验 证 系统 的 输出 并 且 生成 LSL11 平台 的 代码 (其 实 对 于 Gypsy 而 言 , 其 早期 的 一 个 重 
要 设计 目标 是 直接 利用 Gypsy 这 种 可 验证 的 程序 语言 生成 运行 代码 ,因此 ,在 GVE 中 就 
包含 了 一 个 针对 LSI-11 平台 的 Gypsy 语言 编译 器 。 由 于 受 与 Gypsy 语言 编译 相关 的 各 
个 部 件 复杂 性 的 影响 ,这 部 分 功能 并 未 如 同 把 Gypsy 作为 一 种 规范 语言 那样 得 到 较为 广 
泛 的 应 用 ,所 以 这 里 仍 把 Gypsy 作为 一 种 规范 语言 而 非 运 行程 序 代码 来 看 待 ,因此 ,并 不 
对 Gypsy 的 编程 特性 做 过 多 介绍 ,这 里 列 出 交叉 编译 器 的 主要 目的 是 用 以 维持 GVE 的 
完整 性 ) 。 

GVE 系统 的 一 种 重要 特征 是 允许 增 量 验证 。 也 就 是 在 对 一 个 程序 单元 进行 验证 时 ， 
仅仅 使 用 其 他 单元 的 外 部 规范 ,也 就 是 说 只 要 外 部 规范 没有 被 改变 例 程 就 可 以 被 替换 ,并 
且 早 期 相关 单元 的 证 明 仍然 是 合法 的 。 要 求 执行 程序 维护 每 个 单元 的 状态 ,并且 确定 什 
么 时 候 一 个 单元 必须 被 重新 证 明 。 

Gypsy 编程 语言 是 基于 PASCAL 的 ,并 且 许 多 类 似 之 处 被 保留 下 来 ,但 是 增 量 开 发 、 
严格 验证 以 及 用 于 并 发 和 例外 处 理 等 功能 要 求 已 经 导致 了 几 个 相当 的 不 同 之 处 。 


632 ASOS 项 目 简介 


作为 美国 军队 的 军用 计算 机 家 族 (the Army's Military Computer Family，MCF ) 程 

序 的 一 部 分 ,ASOS 项 目 开始 于 1982 年 ,目的 是 开发 用 以 支持 运行 于 MCF 计算 机 上 的 基 

于 Ada 战术 应 用 的 MLS 和 DS 操作 系统 。1983 年 的 概念 定义 阶段 开发 了 功能 需求 和 一 
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个 初步 的 顶层 设计 ,从 1984 到 1986 年 ASOS 项 目的 过 渡 时 期 ,产生 了 一 个 运行 在 MCF 
计算 机 原型 上 的 DS 操作 系统 原型 ,在 1986 年 和 1989 年 之 间 ASOS 项 目的 结果 是 开发 
出 了 MLS(A1) 和 DS(C2) 两 个 操作 系统 ,其 运行 在 无 须 修改 的 Sun-3/280 硬件 上 。 它 们 
是 一 个 包括 安全 注册 、 系 统 操 作 、 系 统管 理 和 安全 打印 池 等 功能 的 全 功能 可 信和 软件 。 

在 ASOS 中 参照 监视 器 是 由 硬件 和 软件 结合 实现 的 ,硬件 机 制 是 由 目标 计算 机 硬件 
所 提供 的 保护 特性 构成 ,包括 用 以 控制 特权 的 多 域 计算 机 结构 、 对 物理 内 存 存 取 进 行 限制 
的 内 存 管理 和 一 个 控制 输入 输出 设备 存 取 的 装置 等 ,Motorola M68020 结构 被 ASOS 作 
为 初始 的 目标 硬件 ,因为 它 具 有 足够 的 硬件 保护 特性 。ASOS 可 信 计 算 基 (CTCB) 的 核心 
是 它 的 安全 内 核 , 它 是 参照 监视 器 的 软件 部 分 ,作为 ASOS 可 信 计 算 基 结构 的 基础 ， 
ASOS 十 分 依赖 于 一 个 内 核 化 设计 ,因此 ,TCB 主要 部 分 是 一 个 软件 实现 。 这 种 方式 具 
有 能 够 有 效 利用 商业 硬件 的 优势 ,并 且 当 计算 机 供应 商 改 善 产 品 时 ,ASOS 软件 的 移植 性 
也 可 以 提高 生产 力 。 

图 6-4 表示 了 一 个 ASOS 软件 结构 的 高 层 视图 。 现 代 的 基于 内 核 设计 的 安全 操作 系 
统 几乎 都 具有 这 种 相似 的 层 状 结构 ,这 个 结构 有 三 个 软件 层 , 其 中 两 个 在 操作 系统 内 。 在 
这 种 设计 中 ,内 核 位 于 最 底层 ( 紧 接着 硬件 ) 并 且 在 目标 计算 机 所 提供 的 最 大 特权 域 (超级 
用 户 态 ) 内 执行 。 较 高 的 一 个 抽象 层 是 非 内 核 OS 软件 ,其 包括 Ada 运行 支持 库 (RSL) 函 
数 ,并 且 为 应 用 程序 提供 接口 、. 向 内 核 颂 发 服务 请 求 等 ,和 可 信 程 序 绑 定 在 一 起 的 非 内 核 
OS 软件 是 TCB 的 一 部 分 ,但 是 和 非 可 信 程 序 绑 定 的 就 不 属于 TCB。ASOS 为 每 一 个 程 
序 维持 一 个 非 内 核 OS 数据 的 隔离 副本 ,一 个 应 用 程序 和 它 的 非 内 核 OS 软件 副本 被 认为 
是 在 一 个 较 小 特权 域 ( 用 户 态 ) 内 执行 的 一 个 单独 安全 主体 ,并 且 和 运行 在 一 个 特定 安全 级 
上 。 主 体 安全 级 决定 了 什么 客体 可 以 被 用 什么 模式 来 存 取 。ASOS 确保 所 有 的 主体 和 客 
体 都 是 互相 隔离 的 并 且 只 有 当 存 取 符 合 相 关 安 全 策略 时 才 是 被 允许 的 。 


(秘密 ) (绝密 ) 
应 用 程序 应 用 程序 
非 可 信 的 
非 内 核 OS 软 件 re 非 内 核 OS 软 件 
4 
AASOS 内 核 层 (特权 域 ) 攻击 


图 6-4 ASOS 软件 结构 


633 保障 目标 及 技术 路 线 概览 


式 化 设计 验证 的 目的 在 于 严格 证 明 一 个 TCB 的 顶层 设计 实现 了 在 一 个 安全 模型 
中 所 体现 出 来 的 安全 策略 需求 。ASOS 的 形式 化 设计 是 用 Gypsy 语言 和 Gypsy 验证 环 
境 (GVE) 完 成 的 。 为 了 实现 一 个 设计 证 明 . 要 求 用 同一 种 语言 表示 安全 模型 和 形式 化 顶 
层 规范 (FTLS) ,在 ASOS 形式 化 设计 中 使 用 Gypsy 语言 分 别 描述 安全 模型 和 FTLS, 证 
明 还 要 求 一 个 全 局 框架 用 于 定义 形式 化 实体 ,并 且 比 较 它们 之 间 的 关系 。 
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为 了 验证 ASOS 内 核 , 具 体 做 法 是 在 一 个 常规 的 状态 机 框架 中 采用 GVE 去 证 明 
BLP 类 型 的 多 级 安全 特性 。 下 面 就 是 这 种 途径 的 要 点 : 

。 安全 模型 特性 用 Gypsy 表示 为 关于 保护 状态 值 的 关系 ,有 两 种 类 型 的 特性 被 强 
调 : 状态 不 变量 和 变换 约束 。 

。 内 核 FTLS 使 用 Gypsy 过程 构造 ,它们 的 退出 断言 标识 了 内 核 服务 的 效果 。 

。 为 了 方便 验证 条 件 (VCS) 的 生成 ,引入 了 基于 Gypsy 编程 语言 结构 的 显 式 状态 机 
表示 ,这 就 允许 使 用 GVE 的 VC 产生 器 自动 导出 所 需要 公式 的 内 置 特性 。 

。 使 用 GVE 的 交互 式 证 明 器 实施 VCS 的 证 明 ,为 了 模块 化 证 明和 控制 复杂 度 引 入 
了 几 个 定理 层 。 

状态 机 框架 假设 有 两 种 不 同 状 态 注释 : 

。 保护 状态 是 一 个 用 以 表现 有 关 安 全 模型 特性 通用 信息 的 抽象 表示 ,这 里 的 安全 模 
型 特性 大 部 分 基于 BLP 保护 状态 概念 , 它 仅 仅 代 表 了 参照 监视 器 状态 的 关键 保 
护 方 面 。 

。 男 一 方面 内 核 状态 是 一 个 ASOS 数据 结构 的 更 具体 的 表示 ,并 且 被 用 在 内 核 的 
FTLS 当中 ,其 差不多 包括 了 内 核 状 态 变量 的 各 个 方面 ,并 且 它 的 详细 程度 是 和 
真正 实现 活动 十 分 贴近 的 。 

内 核 证 明 方法 所 需 的 一 个 关键 元 素 是 具体 内 核 FTLS 实体 和 出 现在 安全 特性 中 的 抽 

象 模型 概念 之 间 的 过 渡 ,这 个 过 渡 采 用 一 个 把 低层 FTLS 内 核 状态 映射 到 高 层 抽象 模型 
状态 的 解释 函数 形式 : 


I:KS— PS 
公式 了 为 所 引入 的 Gypsy 函数 定义 ,了 的 应 用 提供 了 f 
一 种 解释 有 关 安 全 模型 特性 的 ASOS 内 核 服 务 效果 的 严 PS i 
格 方式 。 图 6-5 描述 了 在 内 核 调用 执行 的 状态 变换 模型 中 | 
所 涉及 不 同 状态 值 之 间 的 关系 。 函 数 f; 表示 在 内 核 状态 f 


上 的 内 核 调 用 j 的 效果 ,其 由 Gypsy FTLS 表现 。 但 是 也 KS 
数 及 从 来 不 被 显 式 地 表现 , 它 是 由 f; 和 工 决定 的 ,而 且 工 对 于 内 核 测 用 7 的 状态 转换 
常 为 特征 函数 ,也 就 是 说 内 核 调用 7 当 工 常 为 特征 函数 时 图 6-5 状态 变换 关系 
是 安全 无 关 的 。 


634 ASCS 安全 模型 


ASOS 采用 了 一 个 扩展 形式 的 BLP 模型 , 它 包 括 两 种 类 型 的 安全 特性 : 
(1) 具有 如 下 形式 的 安全 状态 不 变量 
p:PS— {T,F} 
(2) 具有 下 面 形式 的 安全 转移 约束 
Q:PSX PS— {T,F} 

这 里 全 和 下 的 定义 如 同 BLP 模型 中 的 定义 ,分 别 为 状态 序列 的 索引 值 和 安全 级 
矢量 。 
模型 特性 表现 了 在 一 个 操作 系统 的 主体 和 客体 之 间 所 要 求 的 关系 ,在 ASOS 模型 中 
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主体 代表 了 活动 计算 实体 ,而 客体 则 代表 受 保 护 的 信息 容器 ,模型 特性 使 用 通用 的 主体 和 
客体 术语 表示 ,在 形式 化 模型 阶段 没有 ASOS 设计 的 细节 特性 。 
保护 状态 是 结构 化 对 象 , 它 具有 下 列 组 件 。 
。 当前 存 取 集 : 由 当前 被 授予 的 由 每 一 个 主体 .客体 和 存 取 模 式 组 合 而 成 三 元 组 (*， 
0，m) 构 成 。 
。 自主 许可 和 矩阵 : 给 出 了 每 一 个 主体 对 每 一 个 客体 被 许可 的 存 取 模式 。 
。 存 取 安 全 级 : 定义 客体 存 取 安全 级 和 主体 的 最 大 存 取 安全 级 ,ASOS 中 的 存 取 安 
全 级 包括 机 密 性 安全 级 和 完整 性 安全 级 。 
。 客体 层次 : 标明 客体 当前 是 否 是 激活 的 ,并 且 描 述 了 对 象 之 间 的 父 / 子 关系 。 
。 主体 属性 : 标明 主体 当前 是 否 是 激活 的 ,给 出 特定 可 信和 主体 的 特定 权限 ,并 且 记 
录 代 表 一 个 主体 执行 的 用 户 和 组 。 
相应 地 ,一 个 适当 的 Gypsy 类 型 声明 集合 被 构造 用 以 表示 这 些 信息 。 
在 ASOS 模型 中 安全 特性 被 归 为 三 个 不 同 概念 断言 的 集合 。 
。 安全 状态 : 一 个 状态 不 变量 ,是 简单 安全 特性 、* 特性 自主 安全 特性 和 简单 完整 
性 特性 的 合 取 ,ASOS 模型 特性 是 BLP 和 Biba 模型 相应 特性 的 剪裁 版 本 。 
。 安全 变换 : 一 个 变换 约束 由 强制 变换 特性 和 自主 变换 特性 构成 ,两 者 都 要 求 对 安 
全 属性 的 改变 应 在 可 控 条 件 下 进行 。 
。 活动 特性 : 在 安全 状态 特性 证 明 中 所 需 的 一 个 辅助 的 状态 不 变量 ,要 求 存 取 只 能 
被 授予 代表 激活 主体 的 激活 对 象 。 
在 用 Gypsy 改写 的 ASOS 模型 中 ,所 有 函数 使 用 下 列 函 数 收集 和 打包 : 
security_properties(psl ,ps2,s) 
这 里 psl 和 ps2 表示 变换 前 后 的 保护 状态 (参见 图 6-5), s 为 引起 这 个 变换 的 主体 。 把 简 
单 安全 特性 考虑 为 这 些 安全 特性 公式 化 的 一 个 例子 ,其 可 以 使 用 下 列 公式 来 表示 : 
Va€EB,a.m€ {rw>f(a.s).s> fola.0).s 
它 的 意思 是 说 “对 于 在 当前 存 取 集 B 中 的 所 有 具有 read 和 write 存 取 模 式 的 存 取 元 组 a， 
a 中 的 主体 最 大 安全 级 必须 辖 a 中 客体 的 安全 级 ”。 可 用 Gypsy 函数 把 简单 安全 特性 定 
义 改写 为 如 图 6-6 所 示 的 规范 文本 。 
function simple_security property(s: protection state): boolean = 
begin 
exit (assume result iff all a:access tuple,a ins.bs 


((a.mode = read) or (a.mode = write)) 


dominates(a.fs[a.subject] .sec, a.fo[la.object] .sec)); 
图 6-6 用 Gypsy 写成 的 简单 安全 特性 函数 


635 形式 化 顶层 规范 


在 ASOS 的 形式 化 验证 过 程 中 ,内 核 FTLS 被 组 织 为 具有 32 个 Gypsy 范围 (scope) 
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的 集合 ,ASOS 形式 化 安全 模型 和 操作 规则 形成 了 两 个 以 上 的 范围 ,其 使 用 内 核 FTLS 的 
通用 定义 ,它们 和 FTLS 一 起 打包 提供 。FTLS 内 部 的 范围 间 依 存 关 系 也 设计 为 一 个 概 
念 上 的 层次 结构 ,这 个 层次 结构 的 元 素 从 最 低 到 最 高 可 排列 如 下 : 
。 共用 定义 ”这 个 范围 全 局 性 地 包含 大 量 的 在 整个 FTLS 中 都 使 用 的 基本 常量 和 
。 类 型 定义 ” 几 个 范围 组 成 了 对 于 各 种 内 核 函 数 (诸如 任务 管理 ,文件 管理 等 ) 的 类 
型 声明 ,每 一 个 都 是 内 核 状态 类 型 结构 的 组 成 部 分 。 
。 内 核 状态 ”一 个 范围 提供 定义 内 核 状态 结构 的 顶层 类 型 声明 。 
。 工具 函数 几 个 范围 包括 如 同 global_services 这 样 的 提供 为 FTLS 的 其 他 部 分 
所 用 的 各 种 工具 函数 ,这 些 函 数 的 大 部 分 是 关于 内 核 状 态 值 的 操作 。 被 包括 在 这 
类 中 的 还 有 模型 解释 范围 ,其 包含 了 interp 函数 的 定义 ,作用 是 把 内 核 的 状态 值 
映射 到 模型 的 保护 状态 值 上 。 
。 内 核 调用 ”在 层次 机 构 的 项 部 是 内 核 调用 范围 ,这 些 范 围 由 过 程 定义 组 成 ,这 些 
过 程 定义 用 以 详细 说 明 使 用 6. 3. 6 节 所 列 技术 的 内 核 调用 的 效果 ,此 外 在 这 些 范 
围 内 还 包括 完成 这 个 规范 所 必需 的 各 种 支持 函数 。 
在 ASOS 内 核验 证 过 程 中 所 用 的 形式 化 规范 主要 牵扯 到 内 核 状 态 描述 .模型 解释 、 
内 核 调用 规范 等 几 方面 的 内 容 。 


1. 内 核 状 态 描述 

内 核 状态 特意 去 模型 化 在 ASOS 内 核实 现 中 所 使 用 的 状态 变量 集合 ,为 方便 起 见 ， 
这 些 变量 概念 性 地 被 认为 组 成 了 一 个 单个 的 .很 大 的 数据 结构 ,其 作为 一 个 参数 传 给 各 种 
FTLS 函数 和 过 程 ,其 仅仅 是 为 了 形式 化 规范 的 目的 所 做 的 一 个 约定 ,在 内 核 设计 中 它 并 
不 隐 含 一 个 数据 集合 的 对 应 ,因为 在 内 核 设计 中 已 经 采用 了 适当 的 模块 化 和 数据 隐 含 
原则 。 

在 下 面 所 描述 的 内 核 状 态 的 主要 组 件 阐 明了 内 核 状态 变量 的 本 质 。 

。 全 局 索引 和 标量 : 这 些 包括 对 于 当前 运行 程序 实例 和 任务 的 索引 值 。 

。 程序 控制 块 (PCB): 包含 了 用 于 控制 程序 实例 执行 的 域 ,PCB 分 为 用 于 被 内 核 其 

余部 分 所 使 用 的 OS 全 局 部 分 和 仅 为 任务 管理 函数 所 使 用 的 本 地 部 分 。 

。 任务 控制 块 (TCB): 包含 用 于 控制 任务 执行 的 域 。 

。 程序 描述 符 块 (PDB) : 包括 大 部 分 用 于 描述 应 用 程序 重要 性 质 的 静态 数据 。 

。 信道 表 : 用 于 跟踪 在 管理 程序 间 通 信 的 信道 中 所 使 用 的 控制 和 数据 。 

。 1/O 缓存 器 : 表示 了 人 磁带 和 终端 1/O 的 输入 和 输出 缓存 器 。 

。 设备 属性 表 (DAT) : 包含 了 用 于 管理 1/O 设备 的 重要 控制 信息 。 

。 磁盘 头 : 是 一 个 用 于 描述 某 个 磁盘 描述 符 信息 的 数据 抽象 。 

。 文件 属性 表 (FAT): 描述 了 用 于 定义 文件 和 目录 的 关键 属性 。 

。 文 件 信息 表 (FIT) : 用 于 跟踪 从 打开 和 关闭 文件 (目录 ) 的 请 求 中 所 导出 的 当前 文 

件 存 取 。 
对 于 内 核 FTLS 和 它 的 验证 而 言 , 内 核 状态 结构 是 中 心 , 其 他 东西 都 是 服务 于 这 个 数 
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据 类 型 和 在 内 核 状 态 之 内 的 单个 表 之 间 的 关系 。 


2 模型 解释 

为 了 把 具体 的 ASOS 实体 解释 为 抽象 模型 实体 ,我 们 必须 首先 标识 为 存 取 控 制 策略 
所 辖 的 显 式 主体 和 客体 。 为 了 形式 化 规范 的 目的 ,ASOS 程序 实例 被 认为 是 主体 ,客体 被 
称 为 信道 (对 于 程序 间 通 信 而 言 ). 设 备 (用 户 所 有 ) 和 文件 (也 包括 目录 ) 等 ,其 他 类 型 的 信 
息 资 源 ,或 者 为 TCB 所 有 ,或 者 静态 地 分 配给 主体 (例如 内 存 段 就 是 以 这 种 方式 处 理 的 ) 。 

解释 策略 的 关键 是 首先 把 特定 的 低层 内 核对 象 属性 映射 到 中 间 层 通用 对 象 属性 , 然 
后 这 些 通 用 对 象 属性 被 收集 起 来 ,并 且 映 射 到 保护 状态 的 适当 模型 对 象 结 构 。 作 为 一 个 
额外 的 好 处 ,这 种 两 阶段 解释 方法 在 实现 层次 证 明 方案 中 允许 导入 各 种 中 间 定 理 。 注 意 
到 对 每 一 个 内 核 客 体 类 合成 客体 属性 时 ,一般 仅 要 求 一 个 或 者 两 个 内 核 状 态 表 ,因此 就 要 
选择 性 地 掩蔽 那些 在 一 个 给 定 状态 变换 中 没有 牵扯 到 的 表 。 

为 了 方便 对 一 些 内 核 调 用 的 证 明 ,我 们 发 现 引 入 受 限 的 内 核 状态 解释 是 必要 的 ,这 个 
概念 的 关键 之 处 在 于 仅 映射 一 个 内 核 状 态 客体 的 一 个 子 集 到 一 个 保护 状态 值 上 ,通过 和 忽 
略 系统 的 其 他 无 关 部 分 从 而 使 得 可 以 把 注意 力 集中 在 所 期 望 的 子 集 上 。 作 为 一 个 注释 性 
的 辅助 ,引入 其 他 函数 定义 : 

(1) (信道 ) Tc :KS-~PS; 

(2) (设备 ) Ip :KS>PS; 

(3) (文件 ) Is :KS 一 PS.。 

这 些 受 限 解释 的 每 一 个 仅 等 价 地 映射 一 类 ASOS 客体 到 它 的 保护 状态 ,其 他 两 类 就 都 被 
忽略 了 。 通 过 使 用 这 种 方式 , 受 限 解释 可 以 有 效 创建 一 个 单个 客体 系统 的 保护 状态 镜像 。 
如 同 在 后 边 将 要 看 到 的 ,这 种 允许 一 个 证 明 不 受 系统 中 其 他 客体 细节 干扰 的 措施 有 力 增 
强 了 证 明 能 力 。 


3 内 核 调用 规范 

对 内 核 调用 的 详细 描述 是 通过 把 它们 声明 为 Gypsy 例 程 实现 的 , 例 程 声明 仅仅 包括 
一 个 参数 列表 和 一 个 退出 断言 ,退出 断言 用 以 申明 例外 条 件 和 结果 ,这 里 结果 的 形式 为 参 
数 的 输入 和 输出 值 之 间 的 一 个 关系 ,内 核 状 态 参数 的 输出 值 是 和 它 的 输入 值 以 及 其 他 参 
数 的 值 相关 的 。 这 就 是 用 来 声明 状态 变量 变化 如 何 依赖 于 一 个 内 核 调用 的 方法 。 

由 于 Gypsy 没有 全 局 变量 的 概念 ,所 以 要 求 声明 内 核 状 态 变量 为 内 核 操 作 的 显 式 参 
数 。 这 个 做 法 可 以 理解 为 这 些 参数 传递 在 实现 中 并 不 真正 出 现 , 而 只 是 一 个 对 内 核 数据 
结构 存 取 手 段 的 模型 化 ,如 同 本 章 稍 后 所 述 ,使 用 一 个 被 传 往 每 个 内 核 调用 的 单个 数据 结 
构 来 代表 内 核 状 态 变 量 的 全 部 集合 。 这 就 使 形式 化 规范 是 一 致 的 ,并 且 方 便 了 证 明和 隐 

图 6-7 为 一 个 内 核 规范 的 通用 形式 。 内 核 状态 作为 一 个 var 参数 来 声明 ,任何 返回 
结果 的 实 参 将 必须 用 这 种 方式 声明 。 在 Gypsy 中 引用 有 关 输 入 的 一 个 var 参数 值 的 方法 
是 附加 上 一 个 “”, 这 样 ks 就 表示 内 核 状态 变量 的 旧 值 ,而 ks 则 是 指 它 的 新 值 。E1,…， 
Ek 是 内 核 调 用 规范 的 例外 名 称 , 一 个 用 来 返回 内 核 操作 例外 状态 的 显 式 结果 参数 也 包括 
在 参数 列表 中 。 退 出 断言 必须 与 所 模拟 的 例外 和 状态 相 适 应 ,并 且 退 出 值 只 能 为 它们 之 
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一 。 有 关 这 种 方式 的 几 个 重要 方面 应 该 被 注意 到 : 
(1) 在 例外 条 件 中 评估 次 序 是 通过 使 用 Gypay 的 寺 表 达 式 的 elif 子 句 决定 的 ,每 一 
个 条 件 假设 都 是 所 有 前 边 条 件 句 的 否定 。 
(2) Gypsy 是 允许 状态 的 部 分 改变 的 ,于 是 为 了 表明 当 一 个 例外 发 生 时 状态 仍 为 旧 
状态 就 必须 使 用 ks 二 ks 来 把 状态 恢复 到 旧 状 态 。 
(3) 正常 子 句 (没有 例外 出 现 ) 是 用 于 标明 被 修改 状态 值 的 子 句 , 这 通常 使 用 一 个 如 
下 所 示 的 叫做 修改 子 句 的 Gypsy 结构 完成 : 
ks 一 ks' with (. vl := expri…) 
这 里 一 个 “with 子 句 ”返回 一 个 除去 部 分 组 件 被 修改 后 的 相关 “剩余 ” 旧 状 态 ks'", 括 号 中 的 
列表 表明 ks' 被 选择 修改 的 组 件 , 所 有 其 他 值 不 变化 的 条 目 被 从 列表 中 上 略 去 。 
Procedure K(x1 : Tl;..-; xn : Tn; 
Var ks : kernel] state type; 
Var status : kernel_ exception type)= 
begin 
exit if Cl then status = El & ks = ks’ {exceptions} 


elif C2 then status = 52& ks = ks’ 


elif Cm then status = Em& ks = Ks 


else status = no_exception 


&ks = ks with(.v1:= Fl(..)? {effects} 
-Vk :=Fk(-…)) 
Es 
end; 
type kernel_exception_type = (no_exception, Fl1, FE2,.*°, Ek); 


图 6-7 使 用 Gypsy 过 程 说 明 ASOS 内 核 调用 


636 具体 验证 过 程 


前 面部 分 给 出 了 如 何 用 Gypsy 表示 模型 和 FTLS 实体 ,这 部 分 重点 介绍 在 ASOS 内 
核验 证 中 所 采用 的 证 明 策 略 , 主 要 是 使 用 定理 层次 结构 完成 复杂 的 证 明 。 此 外 ,还 详细 介 
绍 了 应 用 分 割 -征服 方法 来 克服 证 明 困 难 性 的 特别 方法 。 


1. VC 生成 

内 核 形 式 化 验证 的 最 终 目 的 是 表明 内 核 操作 集 和 一 个 初始 状态 值 一 起 是 可 以 保持 相 
关 安 全 模型 的 安全 特性 的 。 具 体 做 法 是 首先 表明 初始 状态 满足 安全 特性 ,然后 必须 证 明 
每 一 个 内 核 调用 (其 用 一 个 过 程 声 明 来 表示 ) 是 单独 的 安全 保持 。 实 际 上 在 证 明 一 个 不 变 
量 被 维持 时 ,就 是 努力 去 验证 在 每 个 内 核 调 用 之 后 新 保护 状态 是 安全 的 。 另 外 ,还 必须 表 
明 每 一 个 相 邻 状态 对 满足 安全 变换 约束 。 内 核 FTLS 对 应 于 内 核 状 态 而 非 保 护 状 态 , 这 
就 首先 要 求 引入 把 内 核 状态 映射 到 保护 状态 的 解释 函数 。 

假设 有 一 个 理想 化 的 机 器 ,在 其 中 内 核 被 运行 并 且 服 从 内 核 FTLS 的 规范 ,而 且 运 行 
在 这 个 机 器 上 的 非 内 核 软件 或 者 执行 一 个 通常 的 指令 ,或 者 调用 一 个 内 核 操 作 。 如 果 使 
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用 一 个 Gypsy 过 程 ( 它 调用 其 他 代表 内 核 调用 的 Gypsy 过 程 ) 模 型 化 这 个 理想 化 的 机 器 ， 
则 GVE 可 以 自动 地 产生 验证 条 件 (VCs) ,这 就 提供 了 用 以 证 明 FTLS 和 安全 模型 相 一 至 
的 全 部 公式 集合 。 图 6-8 用 于 说 明 一 个 简化 了 的 把 安全 特性 表示 为 循环 不 变量 的 机 器 模 
型 ,其 被 用 于 引导 一 个 内 核 FTLS 的 证 明 。K, ,…,K, 表示 内 核 调用 过 程 ,并 且 过 程 指令 
表示 了 一 个 正常 (非特 权 ) 机 器 指令 的 执行 。 

procedure machine (Var ns : non kernel state)= 

begin 

Var ks, prev_ks: kernel state type; 


Var subi: subject; 


Var status: kernel_exception type; 


ks := initial kernel states; 

Prev ks := ks; 

loop 
assert security properties (interp(prev ks), interp(ks), subj); 
Prev_ks := ks; 
subj:= ks.current pcb ptr; 


case op_code (ns) 


is1:kl(..., Kks, status); 
is2:k2(..., Ks, status); 
isn kn(, ,ksr status); 


else:instruction(ns); 


图 6-8 用 于 内 核 证 明 的 状态 机 模型 


使 用 刚才 所 提出 的 理想 机 器 模型 ,内 核验 证 将 牵扯 到 一 个 初始 化 定理 的 证 明 ( 这 个 初 
始 化 定理 是 一 个 平凡 的 安全 保持 定理 ) ,和 从 n 个 内 核 调 用 导出 的 n 个 安全 保持 定理 ,这 
个 n 个 定理 围绕 着 图 6-9 所 示 的 简化 结构 。 

并 且 对 应 于 所 有 内 核 调用 之 中 一 个 被 调用 的 情形 ,这 里 kse ks 和 ks, 分别 对 应 于 前 
面 、 当 前 和 下 一 状态 的 值 , 被 调用 的 内 核 调用 把 机 occursty propertics linterptis0)， 


器 从 ksi 带 到 kss 。 对 于 这 些 公式 的 假设 将 从 位 interp(ks1), 
于 FTLS 中 的 退出 断言 中 析出 。 于 是 GVE 针对 0 


& < exception and effects > 


所 有 可 能 内 核 调用 的 调用 产生 一 个 逻辑 公式 集 _。 


合 ,其 中 的 每 一 个 公式 代表 一 个 围绕 状态 机 模型 security properties (interp (ks1), 
循环 的 迭代 。 当 使 用 图 6-6 所 给 出 的 内 核 调用 规 interp (xs2)v 
范 形式 时 ,GVE 所 产生 真正 的 VCs 具有 更 多 的 0 


如 图 6-9 所 示 的 具体 形式 ,图 6-10 显示 了 具有 ” 图 6-9 用 于 内 核 证 明 的 简化 结构 
GVE 印刷 形式 的 对 于 close_directory 内 核 调用 
的 VC, 图 6-10 中 假设 H3 来 自 于 过 程 close_directory 的 退出 断言 。 
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H1 :0 = KERNEI_CRALL(NS) 
H2 : SECURITY_PROPERTIES (INTERP{PREV_KS) ，INTERP{KS)，SUBJ) 
H3 : 1f DISK MOUNTED (KS) 
then if CORRENT DIRECTORY OPEN (CLD] (NS}, READ FILE, KS) 
then UPDATE CLOSE DIRECTORY OF FILE(CLD1 (NS), KS) 
= KS#1 & NO_EXCEPTION = STATUS#1 
else KS = KS#1 & STATUS_zRROR 
Ed 
else DEVICE ERROR = STATUS#1 & KS = KS#1 
Ei 
H4:0# KS.0S_ PCB[KS.CURRENT_PCB_FTR] .PROGRAM_ID 
H5 :0#¥ KS.CURRENT_PCB_PTR 


C1 : SECURITY PROPERTIES(INTER? (KS), INTERP (KS#1), KS.CURRENT PCB_ PTR) 


图 6-10 ”内核 VC 样 例 (close_directory 内 核 调用 ) 


2 证 明 过 程 

ASOS 内 核 调用 的 VCs 结构 要 求证 明 

security properties (interp (ksl)， 

interp (ks2)， 
S1) 
在 几 个 不 同 条 件 集 下 成 立 。 每 一 种 情况 都 假设 kss 等 价 于 ksi 或 者 ksi 的 一 些 函 数 下 。 
解释 函数 工 的 出 现 引 入 了 内 核 状 态 相 异 的 可 能 性 ,尽管 在 I 下 它们 的 镜像 是 相同 的 。 
这 种 情况 当 ks 的 状态 变化 是 安全 无 关 时 出 现 , 此 时 如 果 比 较 I(ksi) 和 I(kss) ,这 种 潜在 
的 影响 是 不 可 见 的 。 由 于 这 种 情形 ,就 不 能 够 区 分 下 面 三 种 相关 的 可 能 情况 : 

(1) ks2= ksl; 

(2) ks2Aksl AI(ks2)=I(ks1); 

(3) ks2Aksl 和 人 ICks2) 天 ICksl) 。 

这 三 种 情况 的 存在 要 求 有 三 种 不 同 种 类 的 内 核 调用 证 明 , 从 而 增加 了 证 明 过 程 的 困 
难度 。 另 外 ,在 一 个 单独 的 内 核 调用 中 还 可 能 有 可 以 被 归结 为 这 三 种 之 一 的 子 情况 。 烘 
型 的 困难 情况 是 当 内 核 调用 的 VCs 有 几 个 平凡 子 情况 (在 这 种 情况 下 内 核 安 全 状态 并 不 
发 生变 化 ) 和 一 个 非 平凡 子 情况 (在 I 下 内 核 状态 和 保护 状态 都 发 生变 化 )。 

如 果 给 定 这 种 分 类 ,证 明 内 核 调 用 VCs 的 基本 方法 是 基于 例外 条 件 构 造 一 个 情况 分 
析 , 对 于 每 一 种 情况 ,采用 如 下 的 顺序 去 构造 一 个 证 明 : 

(1) 如 果 ks2 二 ksl, 并 且 I(ks2) 二 I(ks1) ,这 种 情况 允许 应 用 定理 

SP(ps0,psl,so) A ps2=psl—>SP(psl,ps2,51) 

这 里 SP 为 函数 security_properties 的 缩写 形式 ,因为 每 一 个 内 核 调用 VC 的 假设 都 
包括 一 个 SP(I(ks0),I(ks1),so) 的 实例 (参见 图 6-10 的 H2), 可 以 平凡 地 递归 SP(I 
(ks1) ,IT(ks2) ,si) 直 到 完成 VC 的 证 明 。 

(2) 如 果 ks2 关 ksl1, 但 是 它 可 以 表明 I(ks2) 二 I(ks1), 还 可 以 使 用 上 面 所 述 的 定理 。 
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许多 内 核 调 用 的 效果 可 以 使 用 ks2 一 F(ks1) 的 形式 表示 ,在 这 种 情况 下 下 和 模型 特性 是 
不 安全 相关 的 ,其 必须 有 I(F(ks2)) 二 I(ks1) ,并且 通过 引用 对 于 这 个 结果 的 定理 为 证 ， 
这 样 就 获得 了 对 I(ks2) 二 I(ks1) 的 证 明 。 这 样 定理 的 证 明 通 常 是 很 直接 的 ,主要 是 由 解 
释 函 数 定义 的 扩展 构成 ,然后 对 例 程 进行 简化 。 

(3) 当 IT(ks2) 隆 I(ks1) 时 ,就 需要 一 个 复杂 得 多 的 证 明 。 表 明 在 了 下 对 于 保护 状态 
的 改变 使 SP 对 于 新 的 保护 状态 对 的 维持 是 必需 的 ,这 些 证 明 必 须 考 虑 相关 的 每 一 个 安 
全 特性 的 变化 。 一 个 把 证 明 层次 的 分 解 为 次 级 定理 是 解决 这 个 问题 的 主要 方法 ,主要 用 
到 这 种 方式 的 两 个 变种 : 

g@ 在 一 个 比较 直接 的 变种 中 ,SP(I(ks0), I(ks1), so) 的 证 明 经 由 一 个 由 顶 向 下 的 
步骤 序列 进行 的 ,这 些 步 又 牵扯 到 函数 SP、T 和 它们 的 次 级 函数 的 扩展 。 接 着 是 简化 、 情 
况 分 析 以 及 定理 的 应 用 请 求 。 通 过 提示 在 适当 的 位 置 插入 中 间 定 理 , 这 种 情况 有 时 导致 
产生 很 大 的 证 明 树 。 导 致 复杂 性 的 根源 在 于 在 内 核 状态 解释 函数 了 的 内 在 复杂 细节 。 

@ 在 其 他 变种 中 ,一 个 更 加 精妙 的 办 法 是 基于 一 大 群 通用 目的 模型 解释 定理 ,采用 
分 割 -征服 方法 ,这 种 方法 将 在 本 节 第 4 条 中 详细 描述 。 


3. 证明 层次 体系 

对 ASOS 内 核 要 求 控制 证 明 复杂 性 是 引导 一 个 证 明 工 作 的 内 在 问题 ,把 证 明 工 作 分 
解 并 且 模 块 化 以 避免 一 次 面临 太 多 的 细节 是 很 重要 的 。 一 个 自 顶 而 下 的 类 似 于 软件 开发 
的 分 解 手段 极 大 增强 了 证 明 的 顺序 推导 能 力 。 定 理 引 入 是 实现 这 种 模块 化 的 最 主要 的 手 
段 ,每 一 个 定理 仅 代表 一 个 递归 ,它们 中 的 几 个 或 许可 以 完成 一 个 顶层 证 明 。 这 些 定理 本 
身 也 可 以 被 证 明 直 到 达到 一 个 期 望 的 详细 水 平 ,在 这 个 细节 水 平 上 的 定理 可 以 用 GVE 
内 置 定理 证 明 器 的 推论 来 证 明 。 

在 ASOS 内 核 证 明 中 引入 了 三 种 类 型 的 定理 : 

(1) 经 过 剪裁 的 适合 特定 内 核 调用 的 定理 。 

(2) 用 以 声明 关于 安全 特性 事实 的 定理 。 

(3) 用 以 声明 关于 辅助 函数 的 定理 。 

验证 条 件 和 这 三 个 定理 组 可 以 被 认为 形成 了 一 个 松散 的 四 层 证 明 层 次 结构 ,其 中 细 
节 是 递增 的 ,也 就 意味 着 高 层 接近 VC 证 明 分 解 的 顶层 , 较 低层 定理 提供 更 通用 的 可 重复 
使 用 的 验证 结果 ,所 以 后 两 个 定理 组 通常 被 引用 为 “通用 ”定理 。 

使 用 GVE 定理 证 明 器 证 明 的 实际 过 程 是 高 层次 定理 首先 被 用 于 证 明 验 证 条 件 , 在 
定理 证 明 器 内 通过 用 户 命令 ,定理 被 显 式 地 引用 ;这 些 被 引用 的 定理 然后 使 用 较 低 层 定理 
和 定理 证 明 器 的 内 置 简化 来 证 明 自 身 。GVE 并 不 要 求 一 个 定理 在 使 用 之 前 就 已 经 被 证 
明 ,这 就 允许 在 证 明 单个 VCs 时 采用 从 上 到 下 的 过 程 。 

如 果 把 在 上 述 层 次 结构 中 的 三 组 定理 分 成 组 1、 组 2 和 组 3, 则 对 于 这 种 抽象 的 证 明 
分 解 方式 有 下 面 几 点 看 法 。 

@ 对 更 加 困难 的 验证 条 件 的 证 明 首 先 通 过 引用 针对 特定 VCs 创建 的 组 1 的 定理 来 
实施 ,一些 其 他 定理 偶尔 也 会 用 到 。 内 核 调用 证 明 最 困难 的 步骤 在 于 对 组 1 定理 的 有 效 
归 类 。 虽 然 有 许多 内 核 调 用 ,但 是 那些 结果 并 非 十 分 安全 相关 的 调用 证 明 则 可 以 很 容易 
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地 使 用 组 2 中 的 定理 完成 。 

@ 组 1 中 的 定理 被 设计 成 为 形成 证 明 一 个 内 核 调用 ,或 者 内 核 调用 集 的 重要 部 分 ， 
于 是 它们 的 公式 ,特别 是 假设 的 选择 ,折射 了 十 分 特定 的 条 件 ,这 些 条 件 起 源 于 在 内 核 调 
用 规范 中 的 所 有 例外 条 件 的 否定 。 这 个 组 的 证 明 包 括 最 多 的 复杂 性 ,在 定理 组 中 还 有 一 
些 层次 结构 ,所 以 组 1 中 的 定理 使 用 组 1 中 其 他 定理 和 从 组 2 和 组 3 中 的 定理 证 明 。 尽 
管 复杂 ,但 这 些 证 明 并 不 需要 很 深 的 数学 基础 。 总 体 来 讲 , 它 们 引用 了 大 量 的 数学 分 析 。 

@ 组 2 中 的 定理 被 设计 为 建立 在 由 状态 转移 所 引发 的 各 种 条 件 下 的 安全 特性 真 值 。 
下 面 是 一 些 相关 的 例子 : 

。 对 于 一 个 添加 到 当前 存 取 集 合 的 新 元 组 ,如 果 一 个 适当 的 支配 关系 保持 , 则 简单 

安全 特性 就 扩展 到 下 一 个 状态 。 

。 如 果 没 有 相关 状态 组 件 被 改变 , 则 称 在 下 一 状态 简单 安全 属性 将 会 保持 。 

在 这 个 组 中 的 定理 一 般 使 用 直接 证 明 , 即 使 一 些 是 很 烦琐 的 ,但 它们 首先 通过 函数 定 
义 的 扩展 ,然后 在 组 3 定理 的 帮助 下 被 证 明 。 

@ 组 3 中 的 定理 声明 了 各 种 支持 函数 的 较 低层 特性 ,下 面 是 两 个 很 简单 的 例子 : 

。 如果 工 在 当前 从 S 中 删除 > 所 产生 的 存 取 集合 中 , 则 xz 必 在 S 中 。 

。 从 S 中 删除 一 个 所 产生 的 当前 集合 , 则 当前 集合 是 S 的 一 个 子 集 。 

组 3 中 的 许多 定理 是 和 组 2 中 的 定理 差不多 一 样 复杂 ,尽管 它们 证 明 经 常 引用 其 他 
组 3 中 的 定理 ,但 是 它们 首先 还 是 使 用 定理 证 明 器 原 语 。 在 这 个 组 中 的 定理 证 明 易 于 牵 
扯 到 诸如 递归 证 明 这 样 的 数学 相关 技巧 。 


4 详细 证 明 方 案 

这 部 分 主要 描述 对 于 一 些 内 核 调 用 证 明 的 一 个 证 明 分 解 方 案 , 其 产生 了 上 面 所 描述 
的 组 1 中 的 几 个 定理 , 它 依 赖 于 一 个 大 的 可 重用 定理 集 (组 2、 组 3) 去 缓冲 在 许多 内 核 调 
用 上 的 证 明 工 作 的 复杂 性 。 它 还 描述 了 一 个 专门 为 每 一 个 特定 内 核 调 用 所 构思 的 定 
理 集 。 

适合 这 种 方法 的 内 核 调 用 是 那些 它 的 结果 被 限于 对 一 个 单个 客体 改变 内 核 状 态 。 这 
个 方法 的 关键 之 处 在 于 分 割 -征服 技术 的 使 用 ,在 这 种 技术 中 被 分 割 的 实体 是 一 个 客体 属 
性 结构 (OA) 。 通 过 不 断 地 把 证 明 缩 减 到 客体 属性 结构 中 越 来 越 窗 的 部 分 ,最 终 达到 一 
个 可 以 被 表明 是 根据 这 个 内 核 调 用 的 否定 例外 条 件 所 得 出 的 证 明 。 

证 明 步 又 的 典型 序列 处 理 依 赖 于 客体 属性 结构 ,其 包括 : 

(1) 全 部 客体 属性 (OA1@…@OA,); 

(2) 对 于 一 个 单个 客体 类 (OA;) 的 属性 ,为 {channel, device, file} 之 一 ; 

(3) 对 于 一 个 在 这 个 类 (OA,[ 门 ) 中 的 单个 客体 的 属性 ; 

(4) 对 于 (由 一 些 主体 ) 所 授予 单个 客体 (OA;[j] with (. accesses: 二 [a])) 的 单个 存 
取 属 性 。 

图 6-11 刻画 了 一 种 持续 窗 化 我 们 的 焦点 到 与 真正 变化 相关 的 状态 组 件 的 方法 。 它 
最 终 戏 剧 性 地 减少 了 用 于 证 明 在 一 个 单个 客体 系统 中 安全 性 保持 过 程 中 所 需 的 步骤 数 ， 
这 样 使 得 较 之 直接 证 明 原 来 的 VC 容易 多 了 。 男 外 ,虽然 必须 表明 其 他 状态 组 件 没 有 受 
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到 影响 ,但 这 种 情况 仅仅 要 求 适当 数量 的 工作 。 


信道 设备 | 文件 
1 | 
Disja 六 Di | 
D; 
D 
1 ' ， 1 
信道 设备 文件 


图 6-11 在 从 旧 状 态 到 新 状态 过 程 中 的 客体 分 离 步 又 


为 了 方便 这 种 分 割 ,事先 大 量 通用 目的 支持 定理 已 经 被 设计 。 这 就 允许 在 一 个 方案 
中 每 次 仅仅 只 有 三 个 (或 四 个 ) 特 定 内 核 调用 定理 需要 被 引入 : 

(1) 对 于 受 限 客体 类 (OA; ) 的 安全 特性 保持 ; 

(2) 从 旧 值 的 角度 等 价 声明 新 客体 属性 值 (OA,)， 

(3) 对 于 在 这 个 类 中 的 单个 客体 (OA;[ 站 ]) 的 安全 特性 保持 ; 

(4) 对 一 个 单个 客体 (OA;[j] with (. accesses: 二 [aj)) 的 单个 存 取 的 安全 特性 保持 。 

对 于 更 加 复杂 的 内 核 调 用 ,其 常常 需要 提供 上 述 定理 的 次 级 附加 定理 。 

对 一 个 内 核 调用 的 顶层 证 明 牵 扯 到 几 个 从 例外 条 件 所 导出 的 平凡 情况 和 一 个 非 平 凡 
情况 ,假设 后 者 作为 出 发 点 ,它们 有 通用 形式 : 

SP(I(ks0),I(ks1),so) A 


PCksl) A 
ks2 一下 (ksl) Ka 
一 


SP(I(ks1),I(ks2),s!) 
PCksl) 项 代表 了 一 个 否定 例外 条 件 和 杂 类 条 件 ,并且 函 数 下 表 示 有 关 这 个 状态 的 内 核 调 
用 的 结果 (P 和 下 可 以 有 不 同 的 参数 ) 。 
把 这 个 顶层 证 明 简 化 到 一 个 证 明 ,这 个 证 明 引 用 一 个 有 关 单 个 客体 类 受 限 解释 。 为 
了 不 丧失 普遍 性 ,使 用 device 客体 类 作为 它们 的 一 个 例子 。 
第 一 步 是 使 用 如 下 形式 的 一 个 通用 定理 
SPCITCOKSON STCKkSL) 5s) 
> (2) 
SS(Ip(ks1)) A AP(Ip (ks1)) 
也 就 是 说 ,在 一 个 完全 解释 状态 上 保持 的 不 变量 ,在 一 个 受 限 设备 (Ip (ks1)) 状 态 上 仍然 
保持 。 由 于 牵扯 到 前 一 状态 对 (ks0 一 ks1) 的 变换 是 与 当前 状态 变换 的 安全 性 无 关 的 ,所 
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以 ,只 有 安全 状态 (SS) 和 活动 特性 (AP) 断 言 被 使 用 ,AP 是 一 个 为 SS 证 明 所 需 的 导出 不 
变量 。 可 以 从 原始 VC 的 假设 (1) 去 推理 
SS(Ip(ks1)) A AP(Ip (ks1)) (3) 
接着 创建 一 个 这 个 内 核 调用 的 特定 定理 , 它 具 有 如 下 形式 : 
SS(Ip (ks1)) 人 
AP(Ip (ks1)) 人 


Pkely》 办 (4) 
ks2 = F(Cksl) 
5 


SP(CIp(ksl)),Tp(Cks2)，si) 
推理 
SP(Ip(ksl)) ,TIp(Cks2),s) (5) 
最 后 ,使 用 通用 定理 
SP(I(ks0)) ,I(ks1),so) A 
SP(Ip (ks1)) ,1p (ks2),5) A 
NCp (ksl, ks2) (6) 
> 
SP(I(ks1)) ,I(ks2),s1) 
这 里 NCo 代表 了 与 内 核 状 态 组 件 相关 的 不 变 条 件 , 并 且 这 些 内 核 状 态 组 件 从 属于 其 他 客 
体 类 型 。 如 果 可 以 表明 NCp (ksl1,F(ks1)) 从 PCksl) 中 导出 , 则 可 以 推断 
SP(I(ks1),I(ks2),s1) (7) 
是 原始 VC(1) 的 结论 ,于 是 (6) 就 代表 了 图 6-9 所 示 的 最 终 推论 。 
前 面 所 述 的 步骤 创建 了 一 个 相当 简单 的 顶层 证 明 , 并 且 把 困难 工作 分 解 到 低层 步骤 ， 
特别 是 在 (4) 中 的 定理 需要 被 证 明 以 表明 对 于 设备 客体 内 核 是 安全 保持 的 , 它 可 以 通过 相 
同 技巧 的 其 他 使 用 来 证 明 , 所 以 定理 (4) 在 组 1 中 ,而 定理 (2) 和 (6) 在 组 2 中。 


I 7 本 章 小 结 


在 操作 系统 设计 中 的 采用 形式 化 程序 规范 和 验证 技术 是 研制 高 安全 等 级 安全 操作 系 
统 的 一 个 必要 的 保障 手段 ,所 以 本 章 主要 介绍 了 与 安全 操作 系统 设计 相关 的 形式 化 验证 
技术 的 原理 及 其 应 用 。 

式 化 验证 的 目标 在 于 提供 一 种 允许 在 一 个 计算 机 系统 的 功能 规范 生成 ,开发 过 程 
和 验证 过 程 中 使 用 一 种 严格 的 数学 注释 ,从 而 使 得 对 一 个 系统 的 一 致 性 、 完 备 性 和 正确 性 
可 以 用 一 种 系统 的 方式 来 获得 。 证 明 检 查 器 和 模型 检查 器 是 与 形式 化 验证 技术 相关 的 两 
种 最 主要 的 方法 。 在 安全 操作 系统 的 开发 中 采用 形式 化 验证 技术 的 主要 目的 是 提高 系统 
的 可 信 程 度 , 这 种 保障 主要 通过 形式 化 规范 与 形式 化 验证 来 实现 。 为 了 有 效 降低 安全 操 
作 系 统 设计 中 形式 化 验证 工作 的 复杂 度 ,在 验证 过 程 中 常 采 用 层次 分 解 技术 ,其 主要 有 数 

155 


据 结构 精 化 .算法 精 化 和 过 程 抽 象 等 。 一 个 典型 的 形式 化 安全 验证 系统 至 少 要 由 规范 语 
言 处 理 器 、 验 证 条 件 生成 器 和 定理 证 明 器 等 构成 。 

最 后 为 了 较为 详细 地 描述 形式 化 验证 方法 在 安全 操作 系统 开发 中 的 具体 应 用 过 程 ， 
以 Gypsy 语言 在 美国 军用 安全 操作 系统 (ASOS) 的 成 功 应 用 实例 为 背景 ,介绍 了 形式 化 
验证 技术 在 安全 操作 系统 开发 中 的 具体 应 用 细节 。 这 里 特别 注意 的 是 分 割 -征服 技术 是 
克服 通常 与 安全 操作 系统 设计 相关 的 形式 化 验证 过 程 所 固有 的 复杂 性 的 一 种 有 效 的 了 
段 , 正 是 由 于 采用 了 这 种 分 割 -征服 技术 , 才 使 得 ASOS 项 目 得 以 顺利 完成 。 


mm 


8.5 习题 


. 什么 是 形式 化 验证 技术 、 形 式 化 安全 验证 技术 ? 简 述 两 者 之 间 的 关系 。 

. 简 述 可 用 于 安全 操作 系统 的 形式 化 开发 学 的 主要 要 点 。 

. 可 用 于 形式 化 验证 中 的 主要 的 层次 分 解 技术 有 哪 几 种 ?分 别 简 述 其 主要 特点 。 

. 构成 形式 化 验证 系统 的 主要 结构 有 哪些 ?它们 的 主要 功能 是 什么 ? 

. Gypsy 规范 语言 的 主要 特点 有 哪些 ? 

.列举 Gypsy 验证 环境 (GVE) 的 主要 组 件 的 功用 。 

. ASOS 系统 设计 中 形式 化 安全 验证 的 主要 保障 目标 是 什么 ? 简 述 相应 的 技术 


一 


路 线 。 
8. 为 什么 在 ASOS 系统 证 明 中 使 用 分 割 -征服 的 技术 ? 简 述 这 种 技术 的 要 点 。 
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第 7 总 
”隐藏 通道 分 析 与 处 理 


安全 计算 机 系统 使 用 自主 访问 控制 和 强制 访问 控制 策略 约束 合法 通道 中 的 信息 流 
动 , 这 里 文件 和 共享 内 存 等 都 可 以 视 为 计算 机 系统 中 信息 流动 的 通道 。 然 而 人 们 在 实践 
中 发 现 , 用 户 还 可 以 利用 计算 机 系统 中 原本 不 用 于 通信 的 通道 ,这 些 通道 常见 的 有 系统 存 
储 位 置 和 定时 设备 等 , 常 称 为 隐蔽 存储 通道 和 隐蔽 定时 通道 。 一 般 来 讲 , 计 算 机 系统 的 访 
问 控制 机 制 很 难 对 这 些 存储 位 置 和 定时 设备 加 以 控制 ,所 以 也 就 很 难 对 通过 这 些 通 道 的 
通信 行为 进行 控制 ,因此 对 这 些 隐 项 通道 的 分 析 与 处 理 在 高 安全 等 级 操作 系统 的 设计 中 
是 非常 困难 ,也 是 非常 值得 关注 的 一 个 方面 。 

尽管 不 排除 高 级 用 户 本 身 利 用 隐蔽 通道 向 低级 用 户 发 送 消 息 的 可 能 性 ,但 是 实际 上 
对 隐 项 通道 的 使 用 绝 大 多 数 是 利用 特洛伊 木马 的 形式 来 实现 的 。 所 谓 特 洛 伊 木马 ,就 是 
一 些 程序 或 子 程序 ,它们 伪装 成 用 于 实现 某 种 功能 的 无 害 程序 , 当 可 信用 户 在 合法 工作 中 
执行 其 所 宣称 的 功能 时 (如 字 处 理 程序 、 编 译 程序 或 游戏 程序 ) ,该 程序 在 后 台 不 知 不 觉 地 
完成 了 合法 用 户 未 曾 预料 的 非法 功能 。 

一 般 的 恶意 程序 攻击 总 是 由 入侵 者 从 远程 终端 向 本 地 系统 输入 并 遥控 执行 的 方式 不 
同 的 是 ,而 特洛伊 木马 攻击 并 非 如 此 。 例 如 有 这 样 一 个 嵌入 在 文本 编辑 程序 中 的 简单 特 
洛 伊 木马 , 它 能 复制 用 户 要 编辑 的 文件 ,并且 将 这 些 拷贝 放 在 特洛伊 木马 的 属 主将 来 能 访 
问 的 地 方 。 由 于 系统 通常 很 难 区 分 特洛伊 木马 和 合法 程序 ,因此 ,只 要 不 知情 的 用 户 继续 
自愿 地 使 用 这 个 文本 编辑 程序 ,系统 就 不 能 阻止 特洛伊 木马 的 操作 。 特 洛 伊 木马 通过 执 
行 它 的 系统 用 户 的 身份 标识 (ID) 来 获得 系统 优先 权 和 存 取 权 , 所 以 能 在 不 违反 系统 的 任 
何 安全 规则 的 情况 下 进行 拷贝 活动 。 特 洛 伊 木马 一 旦 完成 拷贝 ,下 一 步 就 要 利用 系统 的 
进程 间 通 信 通 道 将 取得 的 数据 信息 传递 给 特洛伊 木马 的 属 主 , 此 时 安全 操作 系统 采用 的 
强制 访问 控制 策略 将 发 挥 作用 ,具体 做 法 是 禁止 从 高 级 进程 到 低级 进程 或 者 安全 级 不 可 
比 进程 间 的 通信 。 为 此 特洛伊 木马 必须 找到 不 受 强制 访问 控制 机 制 保护 的 通道 ,才能 完 
成 偷窃 信息 的 任务 。 隐 项 通道 正 是 这 种 能 绕 过 系统 的 强制 安全 策略 检查 的 通道 。 图 7-1 
表示 了 隐蔽 通道 的 一 般 工 作 模式 。 
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' | 
一 | 正常 通信 资源 也 | 
| 人 各 和 
| 级 进 程 ) | | 本 意 不 用 于 通信 的 人 级 进程 ) | 
' 一 和 统 共享 宙 ; . | 
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图 7-1 隐蔽 通道 的 一 般 工作 模式 
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了 应 对 隐蔽 通道 的 威胁 ,在 橘 皮 书 中 要 求 B2 级 别 以 上 的 系统 评估 必须 包括 隐藏 
通道 分 析 的 内 容 , 并 且 随 着 评估 的 级 别 的 升 高 ,对 隐蔽 通道 的 分 析 要 求 越 来 越 严格 。 隐 项 
通道 分 析 的 目的 在 于 找 出 系统 的 漏洞 ,并 进一步 分 析 这 些 漏 洞 ,以 确定 其 潜在 危害 。 为 此 
需要 构造 隐蔽 通道 的 真实 使 用 场景 ,并 计算 通道 的 最 大 可 达 带 宽 , 然 后 采用 相应 的 对 策 
(例如 审计 通道 使 用 或 者 重 构 系统 )。 

本 章 首先 讨论 隐蔽 通道 的 概念 ,然后 分 别 介 绍 隐蔽 通道 的 标识 、 带 宽 计 算 和 处 理 技 
术 。 隐 项 通道 的 标识 是 einige 方面 这 个 步骤 是 构造 
场景 .计算 带宽 和 处 理 隐 蔽 通道 的 前 提 , 另 一 方面 它 也 是 难度 最 大 的 步骤 。 因 此 本 章 用 了 
较 大 篇 幅 详细 介绍 各 种 标识 技术 。 必 须 指 出 ,这 些 技术 都 不 是 完美 的 ,都 有 局 限 性 。 总 的 
来 说 ,这 里 所 提 及 的 隐蔽 通道 标识 技术 仍然 有 很 大 的 改进 余地 。 


元 1 隐蔽 通道 的 概念 


隐蔽 通道 的 概念 是 B. W. Lampson 在 “ 论 限 制 问题 ?一 文中 引入 的 。 所 谓 限 制 问题 ， 
是 指 进程 B 调用 程序 A 时 ,系统 能 限制 A 在 运行 期 间 向 B 以 外 的 其 他 进程 传送 消息 。 
Lampson 发 现 , 即 便 在 采用 强制 访问 控制 的 系统 中 ,如 果 采 用 适当 办 法 ,进程 A 仍然 可 以 
向 B 以 外 的 进程 传送 消息 。 他 在 这 篇 文章 中 将 这 些 “ 适 当 ” 的 方法 归结 为 合法 通道 ,存储 
通道 和 隐蔽 通道 三 类 。 后 来 的 研究 表明 ,合法 通道 乃 是 一 种 阐 下 通道 ,与 后 两 种 通道 有 重 
要 区 别 ,进一步 根据 具体 使 用 场景 不 同 , 后 两 种 通道 也 分 别 改 称 为 隐蔽 存储 通道 和 隐蔽 定 
时 通道 。 

隐蔽 通道 CCovert Channel) ,在 国内 文献 中 也 叫做 泄露 路 径 、 隐 通道 或 者 隐蔽 信道 ， 
公认 的 定义 是 “允许 进程 以 危害 系统 安全 策略 的 方式 传输 信息 的 通信 信道 ”( 见 中 国 国 家 
标准 GB 17859 一 1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》)。 这 是 因为 从 世界 各 国 
发 布 的 信息 安全 产品 评估 标准 来 看 ,无 论 是 美国 国防 部 发 布 第 一 个 (计算 级 安全 产品 评估 
标准 》(DoD 5200. 28-STD,1985 ,通常 简称 TCSEC 或 者 橘 皮 书 ) ,还 是 最 新 出 版 的 中 国 国 
家 标准 《信息 技术 ”安全 技术 信息 技术 安全 性 评估 准则 》(GB/T 18336,2001) ,都 把 普 
遍 沿用 美国 橘 皮 书 中 对 隐蔽 通道 的 定义 .解释 和 规定 , 故 在 下 文 的 介绍 中 以 橘 皮 书 中 的 相 
关 定 义 、 解 释 和 规定 为 准 。 

下 面 主 要 从 隐蔽 通道 与 MAC 策略 之 间 的 关系 、 隐 项 通道 的 分 类 .有 关 的 模型 解释 的 
缺陷 及 隐藏 通道 的 特征 等 来 加 强 对 隐蔽 通道 概念 的 内 涵 和 外 延 的 理解 。 


711 隐蔽 通道 与 MC 策略 


隐蔽 通道 的 概念 是 1973 年 提出 的 ,30 多 年 来 随 着 研究 的 日 益 深 入 ,对 此 概念 的 理解 
也 不 断 深化 。 和 追溯 这 个 概念 的 发 展 历程 将 有 助 于 更 好 地 理解 这 个 概念 。 
Lampson 最 初 的 定义 如 下 所 示 。 
定义 7-1.1 如 果 一 个 通信 信道 既 不 是 设计 用 于 通信 的 ,也 不 是 有 意 用 于 传递 信息 
的 , 则 称 该 通信 信道 是 隐蔽 的 。 
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这 个 定义 含义 比较 含糊 , 既 没有 说 明 隐 项 通道 的 发 生机 制 , 也 没有 说 明 隐 项 通信 的 目 
标 。 因 此 , 当 M. Schaefer,J. Huskamp,R. Kemmerer,C. Tsai 等 人 面 对 具 体 工程 问题 时 ， 
他 们 根据 具体 分 析 对 象 , 各 自从 不 同 的 角度 分 别 重新 闻 述 了 隐蔽 通道 的 概念 。 

1977 年 ,Schaefer 给 出 下 列 定义 。 

定义 7-1.2 如果 一 个 通道 的 通信 机 制 是 如 下 传递 方式 : 通过 存储 单元 传输 到 描述 
资源 状态 的 变量 , 则 称 这 个 通信 信道 是 隐蔽 的 。 

1978 年 Huskamp 提出 了 下 述 定 义 。 

定义 7-1.3 ”隐蔽 通道 是 资源 分 配 策略 和 资源 管理 实现 的 结果 。 

1983 年 ,Kemmerer 提出 了 下 述 定义 。 

定义 7-1.4 隐蔽 通道 就 是 使 用 系统 的 非 正 常数 据 客 体 项 ,从 一 个 主体 向 另 一 个 主 
体 传递 信息 的 通道 。 

1987 年 ,Tsai 的 定义 如 下 所 示 。 

定义 7-1.5 给 定 一 个 强制 安全 策略 模型 M, 及 其 在 一 个 操作 系统 中 的 解释 TCM) ， 
TCM) 中 的 两 个 主体 TCS) 和 TS) 之 间 的 通信 是 隐蔽 的 , 当 且 仅 当 模型 M 中 的 对 应 主体 
S， 和 S, 之 间 的 任何 通信 都 是 非法 的 。 

上 述 定义 都 是 针对 设计 特定 操作 系统 的 具体 工程 目的 提出 的 ,因此 显然 具有 很 强 的 
可 行 性 。 不 过 定义 7-1.2 一 7-1.4 都 没有 给 出 隐蔽 通道 与 强制 访问 控制 策略 在 系统 实现 
中 的 关系 。 橘 皮 书 的 定义 说 “隐蔽 通道 是 允许 进程 以 危害 系统 安全 策略 的 方式 传递 信息 
的 通道 ,也 就 是 说 ,隐蔽 通道 与 系统 安全 策略 应 该 有 关系 。 上 述 定 义 中 ,只 有 Tsai 定义 
清楚 显示 了 隐蔽 通道 与 不 同 的 访问 控制 策略 之 间 的 关系 。 正 因为 这 个 原因 ,美国 国防 部 
推荐 采用 Tsai 定义 作为 隐蔽 通道 的 推荐 定义 。 从 这 个 定义 可 以 看 出 : 

1. 隐蔽 通道 与 自主 安全 策略 无 关 

Tsai 的 定义 表明 : 隐蔽 通道 只 与 强制 安全 策略 有 关 ,而 与 自主 安全 策略 无 关 。 这 是 
因为 无 论 在 一 个 操作 系统 的 实现 中 如 何 解 释 系统 的 自主 安全 策略 模型 , 它 都 无 法 抵御 特 
洛 伊 木马 的 攻击 。 自 主 安全 策略 模型 允许 用 户 将 私有 信息 的 访问 权 分 配给 其 他 用 户 , 这 
样 取 得 高 级 用 户 身 份 的 特洛伊 木马 就 可 以 给 予 特 洛 伊 木 马 的 属 主 对 高 级 数据 的 访问 权 。 
因此 系统 实现 无 法 确定 代表 一 个 用 户 的 程序 是 否 是 以 合法 的 方式 代表 该 用 户 取得 信息 。 
由 于 取得 信息 的 路 径 可 能 是 文件 .目录 、 消 息 等 共享 内 存 客体 ,所 以 代表 用 户 的 木马 可 以 
使 用 合法 的 操作 系统 请 求 取 得 用 户 私密 信息 。 尽 管 系统 开发 者 可 以 采用 一 些 限制 代表 用 
户 的 程序 能 力 的 措施 ,但 是 仍然 没有 通用 的 方法 约束 这 些 程 序 的 办 法 一 一 除了 对 系统 操 
作 实 施 强制 访问 控制 策略 。 由 于 自主 模型 不 能 防止 程序 以 合法 的 动作 取得 敏感 信息 ,再 
去 考虑 这 些 程序 如 何 利用 隐蔽 通道 非法 泄露 信息 就 毫 无 意义 了 。 

自主 安全 策略 虽然 不 能 抵御 特洛伊 木马 和 病毒 的 攻击 ,但 在 一 个 没有 特洛伊 木马 和 
病毒 的 相对 良性 的 环境 中 ,系统 的 自主 安全 策略 却 能 让 用 户 保 护 自 己 的 信息 不 被 其 他 未 
授权 用 户 访 问 ;而 强制 安全 策略 的 作用 主要 是 限制 包含 特洛伊 木马 和 病毒 的 程序 的 动作 ， 
B2 级 以 上 系统 实施 的 强制 安全 策略 必须 能 够 处 理 通 过 隐蔽 通道 进行 的 未 授权 访问 。 


2 隐蔽 通道 依赖 于 强制 安全 策略 
隐蔽 通道 依赖 于 系统 采用 的 强制 安全 策略 ,下面 用 一 个 简单 的 例子 说 明 这 种 依赖 性 。 
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假设 有 这 样 一 个 强制 信息 隔离 策略 M, 它 禁止 两 个 主体 S 和 Si 之 间 的 任何 信息 流 
动 , 另 外 再 假设 存在 一 个 多 级 安全 策略 M' , 当 且 仅 当 S 的 安全 级 支配 S, 的 安全 级 时 , 它 
允许 从 S, 到 S, 的 信息 流动 。S, 和 S, 之 间 的 某 些 通信 可 以 被 M “授权 。 对 比 这 两 个 策略 
会 发 现 , 按 照 策略 M“ 实现 的 安全 操作 系统 中 出 现 的 隐蔽 通道 集合 将 是 按照 策略 M 实现 
的 操作 系统 中 出 现 的 隐藏 通道 的 一 个 子 集 。 原 因 很 简单 ,在 策略 M 的 解释 中 从 S, 流向 
S, 的 通道 是 隐蔽 通道 ,这 种 通道 在 策略 M 的 解释 中 却 是 授权 的 合法 通道 。 标 识 隐 蔽 通 
道 时 要 考虑 到 通道 对 策略 的 依赖 性 ,否则 只 分 析 系 统 实现 的 句法 而 不 考虑 安全 策略 的 实 
现 语义 的 隐蔽 通道 分 析 无 法 避免 出 现 伪 非 法 流 ( 就 是 在 规范 中 存在 ,而 系统 运行 时 却 从 不 
出 现 的 信息 流 )。 图 7-2 显示 了 BLP 强制 安全 策略 中 的 信息 流 。 图 中 ,一 ~ 表示 合法 流 ， 
一 表示 非法 流 , XX 表示 不 成 功 , 二 = 表示 具有 支配 关系 ,二 二 表示 没有 关系 。 

尽管 隐蔽 通道 依赖 于 系统 所 实施 的 强制 安全 策略 ,但 是 这 不 意味 着 仅仅 改变 策略 就 
能 消除 隐蔽 通道 。 某 些 隐蔽 通道 在 任何 强制 访问 控制 策略 模型 下 都 会 存在 。 


3. 隐蔽 通道 与 完整 性 策略 有 关 

隐蔽 通道 的 概念 除了 与 保护 信息 流 的 安全 策略 有 关 之 外 ,与 系统 的 完整 性 策略 也 有 
关系 。 在 实现 强制 安全 策略 (如 BLP 安全 策略 ) 的 系统 中 ,隐蔽 通道 分 析 要 确保 能 找 出 所 
有 从 特定 安全 级 到 低 安全 级 或 者 不 可 比 安全 级 的 非法 泄密 路 径 。 同 样 在 实现 强制 完整 性 
策略 (如 Biba) 的 系统 中 ,隐蔽 通道 分 析 要 确保 能 找 出 所 有 从 特定 完整 级 到 低 完 整 级 ,或 
者 不 可 比 完 整 级 的 非法 泄密 路 径 。 

图 7-2 和 图 7-3 分 别 显示 了 特定 强制 安全 策略 (BLP) 和 完整 性 策略 (Biba) 中 的 合 
流 与 非法 流 。 


Pl 
| 
in 冰 out 
SL(P1)>=SL(P2) SL(P1)><SL(P2) IL(PD)>=IL(P2) 1L(P1)><1L(P2) 
BLP 模型 的 信息 流 Biba 模型 中 的 信息 流 


图 7-2 安全 性 策略 中 的 合法 流 与 非法 流 


图 7-3 完整 性 策略 中 的 合法 流 与 非法 流 


4 隐蔽 通道 与 TB 规范 的 语义 有 关 

隐蔽 通道 与 系统 TCB 规范 的 语义 也 有 关系 ,原因 在 于 改变 系统 的 规范 可 能 消除 或 者 
引入 新 的 隐蔽 通道 。 系 统 的 TCB 规范 包括 对 系统 的 主体 、 客 体 、 访 问 特权 、 安 全 级 和 访问 
授权 、 客 体 /主体 建立 /删除 规则 进行 操作 的 所 有 系统 操作 原 语 的 规范 。 下 面 给 出 两 个 相 
关 的 规范 变化 示例 。 

例 7-1 客体 分 配 / 回 收 隐蔽 通道 

在 分 配器 分 配 用 户 可 见 客体 (如 内 存 段 ) 的 情况 下 ,如果 分 配器 的 规范 中 包含 显 式 分 
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配 和 回收 的 TCB 操作 ,主体 可 以 动态 调用 这 些 操作 并 且 各 个 主体 可 以 共享 它们 , 则 使 用 
这 些 用 户 可 见 客体 的 主体 之 间 存 在 隐蔽 通道 。 

这 个 通道 是 改变 TCB 规范 就 能 消除 隐蔽 通道 的 一 个 典型 例子 。 对 策 是 修改 动态 分 
配器 的 规范 ,使 之 不 许 动态 分 配 / 回 收 共享 内 存 区 域 中 的 客体 ,这 样 一 来 隐蔽 通道 就 消失 
了 。 共 享 内 存 区 域 中 的 静态 客体 分 配 和 回收 ,或 者 一 个 按照 安全 级 分 割 的 内 存 区 域 中 的 
动态 客体 分 配 都 不 必 改 变 系统 中 主体 和 客体 的 解释 ,而 只 需要 改变 有 关 建 立 和 删除 客体 
的 规则 的 规范 。 虽 然 消除 资源 的 动态 共享 .预先 分 配 客体 或 者 按照 安全 级 分 割 资 源 都 是 
消除 隐蔽 通道 的 有 效 方法 ,但 是 由 于 这 些 方法 导致 系统 性 能 损失 ,所 以 实际 上 并 不 必要 ， 
有 时 也 不 可 能 这 么 做 。 

例 7-2 多 级 目录 通道 

在 有 关 隐 项 通道 的 文献 中 ,多 级 目录 通道 (Upgraded Directory Channel) 是 最 常 被 提 
及 的 例子 。 这 个 例子 充分 显示 了 隐蔽 通道 定义 对 TCB 规范 的 依赖 性 。 

考虑 在 支持 强制 安全 的 系统 中 建立 和 删除 一 个 多 级 目录 的 情况 。 使 用 的 规范 接口 类 
似 于 UNIX( 在 UNIX 中 系统 操作 原 语 就 是 系统 调用 ) 的 系统 中 ,一 个 高 安全 级 (L;) 用 户 
要 在 高 安全 级 (L;) 上 删除 一 个 多 级 目录 ,这 个 删除 操作 将 失败 , 见 图 7-4, 原 因 是 强制 授 
权 检 查 要 求 进行 删除 操作 的 进程 的 安全 级 L; 等 于 父 目 录 的 安全 级 LL;( 图 中 一 一 表示 成 
功 操 作 ,-… 表 示 失 败 操作 )。 


目录 
图 7-4 删除 目录 级 别 L; 上 的 多 级 目录 失败 


相反 , 低 安全 级 (L;) 的 进程 进行 的 同样 删除 操作 就 可 以 成 功 , 见 图 7-5( 图 中 一 ~ 表 
示 成 功 操作 ,一 表示 信息 泄露 ) 。 然 而 此 时 会 出 现 隐 项 通道 ,原因 是 删除 操作 Rmdir 的 


多 级 目录 本 
这 一 一 -一 文件 | 


CPL=L,< LPML 


图 7-5 仅 当 目录 内 不 含 文件 时 Rmdir 可 以 成 功 
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语义 规定 “不 能 删除 非 空 的 目录 ”。 因 此 ,如 果 在 万 登录 的 用 户 要 从 高 安全 级 工 ; 删除 多 
级 目录 ,这 个 用 户 有 机 会 发 现 这 个 目录 里 是 否 存在 文件 。 于 是 另 一 个 高 级 用 户 进程 就 可 
以 通过 在 多 级 目录 里 创建 /删除 文件 向 低级 用 户 发 送 一 个 比特 的 消息 。 

这 个 通道 的 对 策 是 修改 系统 调用 Rmdir 的 语义 。 不 过 这 种 修改 会 带 来 很 多 麻烦 , 因 
为 这 意味 着 凡是 调用 这 个 系统 调用 的 用 户 程序 都 要 面临 修改 。 


712 隐蔽 通道 的 分 类 


根据 不 同 的 分 类 标准 ,可 以 将 隐蔽 通道 分 为 存储 通道 /定时 通道 或 者 噪音 通道 /无 噪 
通道 。 

1. 存储 通道 和 定时 通道 

在 工程 实践 中 ,完成 场景 构造 以 后 ,要 区 分 隐蔽 存储 通道 和 隐蔽 定时 通道 。 这 个 划分 
最 初 是 S. Lipner 在 1975 年 提出 的 。 尽 管 从 理论 上 看 二 者 没有 重大 区 别 , 但 是 这 种 划分 
有 助 于 工程 处 理 , 所 以 ,认为 存储 通道 与 定时 通道 是 不 同 的 。 此 外 在 橘 皮 书 中 ,对 B2 级 
与 B2 级 以 上 级 别 (B3 和 Al) 安 全 系统 开发 中 的 隐 通 道 分 析 和 处 理 的 要 求 是 不 同 的 , 即 
B2 级 只 要 求 识 别 并 处 理 隐蔽 存储 通道 ,而 B3 和 Al 则 要 求 同 时 必须 识别 和 处 理 隐蔽 存 
储 通 道 与 隐蔽 定时 通道 。 

隐蔽 存储 通道 的 发 生 条 件 是 ,如 果 使 用 这 种 通道 涉及 一 个 进程 (例如 TCM) 的 一 个 主 
体 ) 直 接 或 者 间接 写 和 一 个 存储 位 置 ,此 时 便 有 另 一 个 进程 直接 或 间接 读 这 个 存储 位 置 。 
一 般 来 说 ,隐蔽 存储 通道 涉及 不 同安 全 级 主体 可 以 共享 的 某 种 数量 有 限 的 资源 (例如 
硬盘 ) 。 

隐 项 定时 通道 的 发 生 条 件 是 ,通过 一 个 进程 采用 调节 自己 对 系统 资源 (例如 CPU ) 的 
使 用 ,从 而 影响 另 一 个 进程 观察 到 的 真实 响应 时 间 。 

在 使 用 隐蔽 通道 的 场合 ,必须 首先 要 定义 信息 的 发 送 者 与 接收 者 之 间 的 同步 关系 。 
这 样 隐蔽 通道 还 可 以 用 收发 者 之 间 同 步 关系 来 描述 。 在 图 7-6 中 ,发 送 者 和 接收 者 是 异 
步 进 程 , 为 了 接收 和 解释 数据 ,要 首先 进行 同步 化 。 同 步 的 目的 是 让 一 个 进程 通知 另 一 个 
进程 它 已 经 完成 读 写 数据 变量 的 操作 。 因 此 一 个 隐蔽 通道 可 能 不 仅 包 含 隐蔽 数据 变量 ， 
还 要 包含 两 个 同步 变量 ,一 个 用 于 发 送 方 -接收 方 同步 ,一 个 用 于 接收 方 - 发 送 方 同步 。 任 
何 形式 的 同步 通信 都 要 求 双方 显 式 的 或 者 隐 式 的 同步 。 注 意 同步 操作 双向 传递 信息 , 即 
从 发 送 者 到 接收 者 如 此 ,从 接收 者 到 发 送 者 亦 然 ,可 能 根本 无 法 区 分 这 些 操 作 与 数据 传 
递 ,因此 同步 与 数据 变量 也 可 能 无 法 区 分 。 图 中 其 中 用 户 进 程 Ui ,… ,Ui,U,，*…,U,， 
Us，…,U, 可 以 向 共享 的 数据 变量 进行 写 访问 。 

有 些 安全 策略 允许 系统 中 存在 接收 者 -发 送 者 通信 ,例如 在 BLP 安全 策略 中 允许 向 
上 写 , 即 信息 从 低 安全 级 流向 高 安全 级 。 不 过 这 种 情况 下 仍然 需要 发 送 者 -接收 者 同步 变 
量 以 便 告知 接收 者 接收 比特 。 在 允许 接收 者 -发 送 者 通信 的 系统 中 ,不 包含 发 送 者 -接收 
者 同步 变量 的 通道 叫做 准 同 步 通 道 ,Shaefer 在 1974 年 曾 研究 过 这 种 通道 。 

在 所 有 的 发 送 者 -接收 者 同步 过 程 中 ,同步 数据 必须 包含 在 数据 变量 本 身 之 中 ,因此 
通道 要 付出 一 定 的 带宽 代价 。 以 太 网 中 的 包 格式 比特 可 以 算是 同步 数据 与 要 传送 的 信息 
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SL 级 的 
发 送 者 S 


图 7-6 发 送 者 S 与 接收 者 R 之 间 的 隐蔽 通道 


一 起 发 送 的 一 个 例子 。 在 这 样 的 情景 中 ,就 不 需要 额外 的 发 送 者 -接收 者 同步 变量 。 在 一 
个 实现 了 强制 存 取 控 制 安全 策略 的 系统 中 ,只 要 发 送 者 的 安全 级 支配 接收 者 的 安全 级 ,就 
人 允许 从 接收 者 向 发 送 者 发 送 消息 ,这 种 情况 下 也 不 需要 专门 的 接收 者 -发 送 者 同步 变量 。 

图 7-6 还 可 用 来 区 分 隐蔽 存储 通道 和 隐蔽 定时 通道 。 例 如 存储 通道 的 同步 和 数据 传 
送 使 用 存储 变量 ,定时 通道 的 同步 和 数据 传送 使 用 公共 时 钟 。 二 者 都 至 少 使 用 一 个 存储 
变量 用 于 信息 传递 ,不 过 定时 通道 中 存储 变量 是 短 时 性 质 的 ,也 就 是 说 一 旦 接收 者 接收 信 
息 后 信息 就 消失 了 。 只 要 引入 存储 变量 用 来 同步 ,定时 通道 就 可 以 变 成 存储 通道 ,反之 ， 
把 存储 通道 中 的 同步 变量 替换 成 参考 时 钟 , 则 存储 通道 就 变 成 定时 通道 。 下 面 举例 说 明 
定时 通道 。 

例 7-3 CPU 调度 引起 的 定时 通道 

如 图 7-7 所 示 ,发 送 者 与 接收 者 共享 CPU ,二 者 达成 协议 ,在 相继 的 两 个 CPU 时 间 
片 之 间 , 发 送 者 在 时 间 z; 执行 表示 发 送 1, 不 执行 表示 发 送 0。 接 收 者 尝试 同时 执行 ,以 判 
断 发 送 者 在 1; 是 否 执 行 , 并 将 接收 到 的 成 功 与 失败 的 记号 解释 成 0 和 1。 


1 0 0 1 

IXX |! | IXX | 

发 送 者 一 ! ! ! ~ 
| | | | ! 。 时间 
! xx! XX | XX ! xx! 

接收 者 - + - 1 + 一 
| | ! 时 间 
tl bh B th ts 


图 7-7 CPU 调度 引起 的 定时 通道 


例 7-4 共享 硬件 资源 (主线 ) 引 起 的 其 他 定时 通道 
其 他 共享 硬件 资源 也 能 提供 定时 通道 。 例 如 图 7-8 表示 的 通道 中 ,每 个 处 理 絮 使 用 
主线 时 都 要 先 锁定 该 主线 资源 。 主 线 的 控制 器 能 够 检测 锁 冲 突 。 当 不 需要 执行 主线 占用 
命令 时 ,就 释放 主线 。 发 送 者 与 接收 者 的 协议 是 : 发 送 者 在 时 间 ti 执行 表示 发 送 1, 不 执 
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行 表示 发 送 0。 接 收 者 尝试 同时 执行 ,以 判断 发 送 者 在 t; 是 否 执行 ,并 将 接收 到 的 成 功 与 
失败 的 记号 解释 成 0 和 1。 图 7-8 中 P,…， 
P, 是 进程 ,Li,…' 六 是 安全 级 ,处 理 器 是 Cen) Pm @L 


CPU 或 者 1/O 处 理 器 。 
处 理 器 0 | 。 … | 处 理 器 
2 噪音 通道 和 无 噪 通道 | 二 
隐蔽 通道 可 能 是 有 噪音 的 ,也 可 能 是 无 CY 1 
音 的 。 无 噪 通道 指 的 是 发 送 者 发 送 的 信 1 
号 与 接收 者 接收 的 信号 百分之百 相同 。 对 内 存 村 内 存 


于 隐蔽 通道 来 说 ,每 个 记号 都 是 用 一 个 比特 
来 表示 ,因此 ,如 果 发 送 者 传送 的 任意 比特 图 7-8 共享 主线 引起 的 其 他 定时 通道 
接收 者 都 能 百分之百 正确 解码 , 则 该 隐蔽 通 

道 是 无 噪音 的 。 也 就 表明 不 管 系统 中 其 他 进程 如 何 动作 ,接收 者 都 能 收 到 发 送 者 传送 的 
一 比特 信息 。 

例 7-2 中 的 隐蔽 通道 是 无 噪 通道 。 接 收 者 和 发 送 者 可 以 建立 和 删除 私有 多 级 目录 ， 
其 他 用 户 无 论 如 何 动作 都 不 能 接收 者 接收 error/no-error 信号 。 因 此 接收 者 可 以 百 分 之 
百 解释 发 送 者 发 送 的 每 个 比特 。 与 此 相反 , 例 7-3 和 例 7-4 中 的 通道 是 有 噪音 的 ,只 要 存 
在 发 送 者 和 接收 者 之 外 的 第 三 个 进程 使 用 该 共享 资源 ,接收 者 就 不 能 完全 正确 地 解释 接 
收 到 的 信号 。 使 用 纠 错 码 有 助 于 提高 解码 的 正确 率 , 不 过 必然 会 降低 带宽 。 

3. 通道 集成 

发 送 者 与 接收 者 使 用 的 同步 变量 或 者 信息 可 以 用 于 对 多 个 数据 变量 的 操作 。 可 独立 
用 作 隐 项 通道 变量 的 多 个 数据 变量 可 以 作为 一 组 来 使 用 ,以 分 推 同步 信息 的 代价 。 这 样 
的 通道 叫做 集成 通道 。 根 据 发 送 者 和 接收 者 如 何 设置 . 读 、. 重 置 通道 变量 ,集成 通道 可 以 
分 为 并 行 通道 和 串 行 通道 ,或 者 串 并 混合 通道 。 


713 模型 解释 缺陷 


目前 的 一 个 悬而未决 的 问题 是 如 何 区 分 隐蔽 通道 与 安全 模型 解释 缺陷 ( 即 TCB 的 规 
范 错误 和 实现 错误 ) 。 为 了 工程 实现 和 评估 的 便利 ,只 要 有 可 能 ,安全 系统 的 设计 者 和 评 
估 者 总 希望 能 区 分 实现 缺陷 与 隐蔽 通道 。 例 如 Bl 级 系统 (支持 MAC 安全 策略 ) 的 实现 
者 和 评估 者 很 在 意 区 分 实现 漏洞 和 隐蔽 通道 ,因为 只 有 这 样 才 可 以 确定 机 密 信 息 的 泄露 
到 底 是 由 系统 实现 的 漏洞 导致 的 ,还 是 由 隐蔽 通道 导致 的 。 对 于 Bl 级 系统 来 说 ,模型 实 
现 的 漏洞 必须 要 改正 ,而 隐蔽 通道 就 不 必 处 理 。 

隐蔽 通道 与 模型 解释 缺陷 的 这 种 区 分 应 当 从 隐蔽 通道 定义 中 体现 出 来 ,但 是 现 有 的 
隐蔽 通道 定义 (包括 前 面 给 出 的 定义 5) ,都 不 区 分 隐蔽 通道 与 TCB 规范 和 代码 的 实现 错 
误 。 因 为 定义 5 认为 ,从 根本 上 讲 ,隐蔽 通道 是 强制 访问 控制 策略 实现 中 的 漏洞 ,这 些 漏 
洞 有 时 在 工程 实践 中 是 不 可 避免 的 。 不 过 ”模型 实现 ?概念 的 定义 同时 也 给 出 了 区 分 不 同 
类 型 的 隐蔽 通道 与 实现 漏洞 的 一 个 判 据 。 

为 了 定义 区 别 判 据 , 可 以 回顾 前 面 的 例 7-1、 例 7-2 和 例 7-3、 例 7-4。 前 两 个 例子 表明 
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通过 改变 特定 系统 中 TCB 的 规范 ,原则 上 可 以 消除 当前 存在 的 隐蔽 通道 。 与 此 相反 ,后 
两 个 例子 则 表明 在 任何 允许 共享 CPU ,主线 .内存 、 输 入 输出 (IO) 及 其 他 硬件 资源 的 系 
统 中 ,TCB 的 规范 中 都 一 定 有 隐蔽 通道 存在 。 同 时 例 7-2 进一步 说 明了 通过 改变 TCB 规 
范 消除 隐蔽 通道 在 很 多 系统 中 都 是 不 可 行 的 ,这 主要 是 考虑 到 对 TCB 进行 的 改造 可 能 带 
来 与 给 定 系统 现存 接口 的 兼容 性 的 显著 下 降 。 当 然 同 样 也 可 以 找到 成 功 改造 TCB 规范 
的 例子 (如 例 7-1) ,但 这 种 改造 是 在 付出 一 定 功能 或 者 性 能 损失 代价 的 情况 来 完成 的 。 

下 面 判 据 用 于 在 工程 中 区 分 不 同类 型 的 隐蔽 通道 或 者 漏洞 ,从 而 确定 哪些 应 该 在 B1 
级 处 理 ,哪些 应 当 在 B2-Al 级 处 理 。 

基本 通道 : 在 TCB 规范 中 ,导致 隐蔽 通信 的 漏洞 是 基本 通道 , 当 且 仅 当 该 漏洞 在 任 
何 操作 系统 的 任何 强制 安全 模型 解释 中 都 会 出 现 

特定 TCB 通道 : 在 TCB 规范 中 ,导致 隐蔽 通信 的 缺陷 是 特定 TCB 通道 , 当 且 仅 当 
该 漏洞 仅 在 给 定 操作 系统 的 特定 强制 安全 模型 解释 中 出 现 

不 合理 的 通道 : 在 TCB 规范 中 ,导致 隐蔽 通信 的 漏洞 是 不 合理 通道 , 当 且 仅 当 该 漏 
洞 仅 在 给 定 操作 系统 的 特定 的 ,并 且 不 合理 的 强制 安全 模型 解释 中 出 现 。 特 定 TCB 通道 
与 不 合理 通道 的 基本 区 别 在 于 : 有 某 种 根据 表明 存在 这 种 通道 。 

按照 上 述 判 据 , 例 7-3 和 例 7-4 是 基本 通道 ,而 例 7-1 和 例 7-2 是 特定 TCB 通道 。 

上 述 区 分 不 同类 型 隐蔽 通道 (或 者 漏洞 ) 的 判 据 表明 ,Bl 和 B2 一 Al 系统 要 求 采用 不 
同 的 处 理 策 略 : Bl 级 别 系统 不 必 处 理 基本 通道 ;B2~~ Al 级 别 系统 应 处 理 特定 TCB 通 
道 ;不 合理 通道 应 当 通 过 改变 TCB 规范 或 者 B 级 系统 模型 实现 来 消除 。 


714 隐蔽 通道 的 特征 


R. Kemmerer 在 1983 年 总 结 了 隐蔽 通道 的 判定 特征 。 他 指出 一 个 存储 通道 必须 至 
少 满足 下 列 判定 规则 : 

(1) 发 送 方 和 接收 方 进程 必须 有 权 存 取 共 享 资源 的 同一 属性 。 

(2) 发 送 方 进程 必须 有 办 法 改变 该 共享 资源 。 

(3) 接收 方 进程 必须 有 办 法 侦查 该 共享 资源 的 改变 。 

(4) 必须 存在 某 种 机 制 , 使 发 送 方 和 接收 方 进程 能 启动 隐蔽 通信 并 正确 给 事件 排序 。 
该 机 制 可 能 是 另 一 条 较 小 带宽 的 隐蔽 通道 。 

如 果 满 足 判 据 (1) 一 (3) ,就 要 找 出 满足 判 据 (4) 的 场景 。 如 果 可 以 找到 这 样 的 场 
景 ,表明 存在 隐蔽 存储 通道 。 尽 管 通过 使 用 SRM 法 ,可 以 很 容易 标识 和 抛弃 不 满足 判 
据 (1) 一 (3) 的 共享 资源 属性 ,但 最 后 一 步 仍 要 求 较 强 的 想象 力 和 对 系统 的 深入 洞 
察 力 。 

类 似 方 法 可 以 发 现 定 时 通道 ,不 过 要 使 用 不 同 的 判 据 。 一 个 定时 通道 至 少 需要 满足 
的 判定 规则 是 : 

(1) 发 送 方 和 接收 方 进程 必须 有 权 存 取 共 享 资源 的 同一 属性 。 

(2) 发 送 方 和 接收 方 进程 必须 有 权 存 取 一 个 时 间 参 照 ,如 实时 时 钟 。 

(3) 发 送 方 进 程 必 须 能 够 调整 接收 方 进 程 侦查 共享 属性 的 变化 所 用 的 响应 时 间 。 

(4) 必须 存在 某 种 机 制 , 使 发 送 方 和 接收 方 进程 能 启动 隐蔽 通信 并 正确 给 事件 排 
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序 。 该 机 制 可 能 是 另 一 条 较 小 带宽 的 隐藏 通道 。 

对 于 PC 来 说 ,系统 中 至 少 处 理 器 是 共享 的 ,因此 系统 中 运行 的 各 个 进程 至 少 存在 一 
个 共享 属性 一 一 CPU 的 响应 时 间 。 接 收 方 进程 通过 监视 时 钟 就 能 侦查 到 响应 时 间 的 
变化 。 


7.2 隐蔽 通道 的 标识 技术 


本 节 主 要 介绍 在 安全 操作 系统 中 标识 隐蔽 通道 的 方法 ,并 对 迄今 为 止 曾经 在 各 种 项 
目 中 使 用 过 的 隐蔽 通道 标识 方法 加 以 评述 。 

20 世纪 80 年 代 以 前 ,隐蔽 通道 分 析 的 对 象 基 本 上 是 特定 的 系统 机 制 或 者 特定 系 
统 功 能 (如 多 级 目录 机 制 )。 在 这 些 隐 项 通道 标识 技术 中 ,D. Denning 在 1977 年 提出 的 
信息 流 法 是 一 种 比较 有 影响 力 的 分 析 方 法 ,但 用 这 种 方法 来 分 析 庞 大 而 又 复杂 的 操作 
系统 内 核 是 比较 困难 的 。 共 享 资 源 和 矩阵 法 (SRM 法 ) 是 20 世纪 80 年 代 初 由 
R. Kemmerer 发 明 的 ,这 种 方法 本 来 是 用 于 描述 系统 中 可 以 用 于 发 送信 号 的 属性 ,标识 
系统 运行 中 未 被 使 用 的 属性 ,从 而 让 分 析 者 能 把 更 多 的 精力 放 在 处 理 有 用 的 属性 上 。 
但 当 把 这 种 分 析 技 术 引入 隐蔽 通道 分 析 中 后 ,成 了 迄今 最 著名 的 隐蔽 通道 分 析 技 术 。 
在 20 世纪 80 年 代 中 期 ,一 些 研究 者 开始 使 用 无 干扰 方法 分 析 操 作 系 统 。 这 种 方法 中 ， 
凡是 用 “展开 定理 ”无 法 证 明 的 地 方 都 须 仔 细 考 虑 信息 流 问 题 。 与 SRM 一 样 ,这 种 方 
法 本 来 也 不 是 用 于 隐蔽 通道 分 析 的 ,但 分 析 者 可 以 使 用 SRM 和 无 干扰 法 可 以 得 到 信 
号 的 发 送 序列 ,并 确定 它们 是 否 可 以 用 于 隐蔽 通道 。1986 年 美国 马里 兰 大 学 的 Tsai 
等 人 发 展 了 语义 信息 流 分 析 技 术 , 在 专用 的 流 分 析 工 具 的 帮助 下 ,他 们 分 析 了 安全 
Xenix 人 gine 隐蔽 流 树 (CFT) 是 一 种 较 新 的 方 
法 ,这 种 方法 使 用 树 结构 将 从 一 个 共享 属性 到 另 一 个 共享 属性 的 信息 流动 建 模 。 这 种 
eto A rt Otero 
信息 内 容 的 操作 序列 。 横 截 CFT 路 径 可 以 得 到 全 面 的 .支持 通过 特定 资源 属性 通信 的 
操作 序列 。 

最 终 标 识 出 的 隐蔽 通道 可 以 用 一 个 TCB 内 部 变量 与 两 个 TCB 原 语 来 表示 ,其 中 一 
个 原 语 (PA, ) 写 访问 该 变量 , 另 一 个 原 语 (PV, ) 读 访问 这 个 变量 ,从 而 构成 绕 过 强制 访问 
控制 策略 的 隐 茂 通信 。 有 关 读 访问 和 写 访 问 这 个 变量 的 原 语 有 可 能 不 止 一 个 ,在 读 写 操 
作 完 成 以 后 ,发送 者 或 接收 者 可 能 还 要 设置 发 送 /接收 下 一 个 比特 的 环境 ,因此 ,隐蔽 通道 
标识 的 首要 目标 是 找 出 所 有 TCB 内 部 变量 ,以 及 能 读 访 问 / 写 访 问 这 些 变量 的 TCB 原 语 
( 即 所 有 的 三 元 组 二 Var, PA; ,PV 过)。 标 识 技术 的 另 一 个 目标 是 确定 在 通道 的 原 语 内 
部 安置 延迟 .噪音 (例如 随机 化 客体 标识 符 等 ) 和 审计 代码 的 TCB 位 置 ,以 降低 通道 的 带 
宽 和 监督 通道 使 用 情况 。 另 外 除了 内 核 与 可 信 进 程 实现 的 TCB 原 语 和 变量 外 ,隐蔽 通道 
还 可 以 使 用 硬件 处 理 器 指令 和 用 户 可 见 的 寄存 器 。 因 此 完整 的 隐蔽 通道 分 析 应 当 考 虑 到 
系统 使 用 的 硬件 的 结构 ,而 不 仅 是 内 核 与 可 信 进 程 。 
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721 标识 技术 的 发 展 


1 隐蔽 通道 分 析 的 层次 性 
隐蔽 通道 分 析 与 安全 操作 系统 抽象 的 层次 有 关 ,系统 抽象 的 层次 见 图 7-9 。 
图 7-9 同时 也 显示 了 安全 操作 系统 开发 的 大 致 过 程 。 隐 项 通道 


分 析 可 以 在 从 抽象 的 安全 模型 到 系统 机 器 代码 的 任何 一 个 层次 上 安全 模型 
进行 。 分 析 系 统 的 高 层 抽象 可 以 在 系统 开发 的 早期 发 现 安全 漏洞 。 1 
在 设计 过 程 的 早期 引入 的 安全 漏洞 通常 会 成 为 系统 规范 和 代码 的 系统 规范 
一 部 分 ,因此 漏洞 发 现 得 越 早 ,修改 系统 设计 的 代价 就 越 小 。 1 
系统 规范 主要 指 安全 操作 系统 的 描述 性 顶层 规范 (DTLS) 和 形 系统 实现 
式 化 顶层 规范 (FTLS)。 通 常 只 有 A 级 系统 的 开发 者 这 才 会 写 形式 1 
化 顶层 规范 ,而 也 级 系统 的 开发 者 只 需要 写 描述 性 顶层 规范 。 大 多 机 器 代码 


数 隐 项 通道 分 析 方法 都 把 注意 力 集中 在 对 系统 规范 层 (特别 是 描述 网? 9 操作 系统 抽 
性 顶层 规范 ) 的 分 析 。 象 的 层次 性 
系统 实现 是 指 内 核 的 源 代 码 。 对 于 隐蔽 通道 分 析 者 来 说 , 动 辑 
上 百 万 行 的 现代 操作 系统 的 内 核实 在 是 个 过 于 庞大 的 分 析 对 象 ,因此 迄今 为 止 只 有 很 少 
的 开发 者 对 代码 进行 隐蔽 通道 分 析 。 
在 机 器 代码 层 进行 隐蔽 通道 分 析 仅 有 理论 上 的 意义 ,这 是 因为 操作 系统 的 开发 者 对 
机 器 硬件 的 选择 余地 不 大 ,通常 在 系统 设计 开始 之 前 就 已 经 选 定 了 机 器 硬件 ,或 者 说 系统 
的 设计 开发 必须 迁就 于 选 定 的 硬件 。 硬 件 特征 当然 也 可 能 被 用 作 隐 项 通道 ,如 内 存 管理 
单元 ,共享 内 存 .1/O 主线 .设备 控制 器 等 。 如 果 在 硬件 层 发 现 了 高 带宽 的 发 送信 号 机 制 ， 
除了 尽量 避免 使 用 这 些 机 制 以 外 ,系统 开发 者 往往 别 无 选择 。 此 外 随 着 现在 共享 内 存 的 
多 处 理 器 越 来 越 普及 , 想 避 免 使 用 共享 内 存 的 隐蔽 通道 也 就 越 加 困难 。 


2 橘 皮 书 所 建议 采用 的 隐蔽 通道 分 析 资 源 

根据 上 面 的 分 析 , 橘 皮 书 建议 隐蔽 通道 标识 可 以 采用 的 系统 资源 包括 : 

。 系统 参考 手册 ,其 中 包括 对 TCB 原 语 的 描述 ,CPU 和 1/O 处 理 器 指令 以 及 它们 

对 系统 客体 和 寄存 器 的 作用 ,TCB 参数 或 者 指令 域 等 。 
。 B2-Al 系统 的 详细 的 描述 性 顶层 规范 (DTLS) 和 Al 系统 的 形式 化 顶层 规范 
(FTLS), 

。 TCB 源 代码 和 处 理 器 微 指令 代码 。 

(1) 采用 系统 参考 手册 作为 系统 TCB 原 语 和 处 理 器 指令 描述 的 唯一 优点 在 于 : 系统 
参考 手册 都 属于 常备 资料 ,所 以 对 任何 操作 系统 而 言 这 些 信息 很 容易 找到 。 不 过 根据 这 
种 资料 分 析 隐 蔽 通道 也 有 了 明显 的 缺点 。 第 一 ,如 果 使 用 系统 参考 手册 分 析 隐 项 通道 ,那么 
TCB 和 处 理 器 就 要 被 视 为 黑匣子 ,因为 从 手册 无 法 得 知 系统 的 实现 细节 。 这 样 一 来 ,使 
用 系统 参考 手册 就 可 能 达 不 到 ”发 现 全 部 隐蔽 通道 ”的 目标 。 如 果 采 用 系统 参考 手册 作为 
隐蔽 通道 分 析 的 唯一 信息 来 源 , 那 么 标识 通道 的 工作 就 不 得 不 较 多 地 依赖 于 分 析 者 的 猜 
测 ,以 及 与 其 他 已 知 包含 隐 项 通道 的 系统 的 规范 进行 类 比 。 第 二 ,根据 系统 参考 手册 进行 
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分 析 对 于 采取 处 理 隐 项 通道 措施 而 言 时 间 上 的 延迟 太 多 。 因 为 一 旦 系统 已 经 实现 并 且 写 


好 了 手册 ,就 不 太 可 能 通过 改变 TCB 接口 的 方法 来 消除 隐蔽 通道 。 第 三 ,系统 参考 手册 
对 系统 的 描述 精度 比较 低 , 因 此 用 这 种 资料 作为 分 析 的 基础 ,难免 会 漏 掉 系 统 中 的 许多 重 
要 的 隐蔽 通道 。 


(2) 目前 已 经 开发 的 多 数 标识 方法 使 用 FTLS 作为 隐蔽 通道 标识 的 主要 资料 来 源 。 
这 样 做 的 优势 在 于 : 首先 ,这 些 规范 所 包含 的 信息 要 比 系统 参考 手册 中 的 详细 和 相关 得 
多 ;其 次 ,使 用 顶层 规范 有 助 于 预先 发 现 可 能 在 系统 实现 中 出 现 的 .导致 隐蔽 通道 的 系统 
设计 漏洞 ,从 而 尽早 纠正 设计 错误 , 减 小 纠 错 成 本 ;最 后 ,可 以 利用 现成 的 FTLS 层 标 识 工 
具 , 从 而 可 以 进一步 发 现 更 多 的 隐蔽 通道 。 

但 是 同时 应 当 看 到 ,在 顶层 规范 进行 通道 标识 也 有 两 个 不 可 忽视 的 缺点 : 第 一 ,不 能 
保证 发 现代 码 实 现 中 可 能 出 现 的 全 部 隐蔽 通道 。 迄 今 为 止 还 没有 证 明 顶 层 规范 中 的 信息 
流 与 代码 实现 中 的 信息 流 一 致 性 的 方法 ,因此 就 不 能 保证 找 出 了 代码 实现 中 的 全 部 隐蔽 
通道 。 目 前 为 止 对 规范 -代码 一 致 性 进行 的 唯一 有 意义 的 工作 Benzel 等 对 Honeywell 的 
SCOMP 所 做 的 工作 ,但 是 采用 的 方法 是 非 形式 化 的 。 他 的 工作 表明 ,大 量 的 实现 代码 并 
没有 对 应 的 形式 化 规范 ,这 些 代码 通常 执行 监视 审计、 调试 等 功能 ,虽然 被 认为 与 安全 策 
略 无 关 , 但 是 可 能 包含 提供 潜在 隐蔽 通道 的 变量 。 第 二 ,FTLS 和 DTLS 都 可 能 未 包含 关 
于 侦察 TCB 代码 中 的 间接 信息 流 所 需 的 数据 结构 和 代码 的 细节 。 这 些 用 于 信息 流 和 隐 
蔽 通道 分 析 的 规范 的 细节 十 分 重要 ,如 果 没 有 这 些 细节 就 会 使 强制 访问 控制 和 处 理 机 制 
的 无 法 恰当 地 实现 。 工 程 实践 表明 , 仅 依 据 顶 层 规范 分 析 的 结果 ,基本 上 不 能 确定 设置 访 
问 检查 .通道 审计 和 时 间 延 迟 措施 的 确切 位 置 。 

(3) 大 多 数 研 究 者 致力 于 从 设计 规范 中 寻找 隐蔽 通道 ,很 少 有 人 研究 源 代 码 层 和 硬 
件 层 隐蔽 通道 分 析 技 术 。 但 是 从 源 代 码 中 标识 隐蔽 通道 具有 下 列 明显 的 优点 : 

。 能 找 出 所 有 隐蔽 存储 通道 (除了 硬件 导致 的 通道 以 外 ); 

。 能 找 出 放置 审计 代码 .延迟 和 噪音 的 位 置 ; 

。 能 评估 访问 检查 的 位 置 是 否 合适 。 

虽然 在 源 代码 中 标识 隐蔽 通道 具有 上 述 诸多 有 点 ,但 是 由 于 源 代码 的 规模 庞大 和 结 
构 复 杂 , 分 析 源 代码 极其 费时 费力 .所 以 致使 对 这 一 层面 的 隐蔽 通道 标识 技术 的 研究 工作 
基本 上 没有 什么 大 的 进展 。 据 报道 ,对 安全 Xenix 源 代码 的 隐 项 通道 标识 工作 消耗 了 两 
人 年 的 工作 量 。 


3. 橘 皮 书 各 个 级 别 对 隐蔽 通道 分 析 的 不 同 要 求 

橘 皮 书 的 B2-Al 级 别 要 求 识别 隐蔽 通道 。B2 要 求 “系统 开发 者 要 彻底 搜寻 隐蔽 存 
储 通道 ……” 对 于 B2 级 来 说 ,搜寻 隐藏 存储 通道 应 当 在 系统 参考 手册 和 TCB 的 描述 性 顶 
层 规 范 CDTLS) 上 进行 。 虽 然 橘 皮 书 不 要 求 分析 TCB 源 代码 和 硬件 微 代码 规范 ,但 是 如 
果 进 行 这 种 分 析 将 有 助 于 确保 识别 结果 的 完整 性 。 虽 然 橘 皮 书 没有 规定 特定 的 识别 方 
法 ,但 是 建议 不 要 使 用 未 经 检验 的 方法 ,特别 是 系统 评估 者 无 法 重复 分 析 过 程 的 方法 。 橘 
皮 书 规定 ,系统 开发 者 必须 进行 彻底 的 隐蔽 存储 通道 搜索 ,而 评估 者 可 以 重复 分 析 过 程 ， 
评估 搜索 的 结果 。 
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在 非 形式 化 顶层 规范 上 进行 隐蔽 通道 标识 往往 得 不 到 完备 的 结果 ,因此 有 必要 在 代 
码 层 进 行 隐蔽 通道 分 析 , 和 否则 就 不 能 满足 橘 皮 书 的 隐 项 通道 标识 的 彻底 性 要 求 。 同 时 在 
代码 层 进行 隐蔽 通道 分 析 还 能 找 出 隐藏 通道 的 场景 ,从 而 区 分 潜在 的 隐蔽 通道 和 真实 的 
隐 茂 通道。 因此 ,事实 上 橘 皮 书 推荐 同时 使 用 对 DTLS 的 分 析 和 对 源 代码 的 分 析 。 

B3 要 求 将 隐蔽 通道 分 析 扩 展 到 所 有 的 隐蔽 通道 , 即 还 要 包含 定时 通道 。 虽 然 对 识别 
方法 没有 什么 补充 要 求 , 但 是 要 求 找 出 定时 通道 场景 。 这 些 场景 包括 所 有 独立 定时 的 系 
统 资源 ,例如 CPU 和 1/O 处 理 器 。 分 析 过 程 只 有 包含 了 所 有 这 些 资源 ,才能 保证 没有 遗 
漏 的 定时 通道 。Huskamp 在 1978 年 曾 提出 了 一 个 定时 通道 的 例子 ,就 是 前 面 提 到 的 
例 7-3。 

Al 对 隐 项 通道 分 析 的 要 求 包 含 了 B2 和 B3 对 隐蔽 通道 的 要 求 ,并 且 要 求 “ 使 用 形式 
化 方法 分 析 隐 蔽 通道 ”。 

开发 者 可 以 对 形式 化 顶层 规范 和 系统 TCB 的 源 代码 使 用 隐蔽 通道 分 析 (covert 
channel analysis,CCA)。 这 种 方法 的 实例 包括 句法 信息 流 分 析 , 共 享 资源 和 矩阵 法 和 无 干 
扰 法 。 当 然 还 可 能 存在 其 他 的 形式 化 方法 分 析 隐 蔽 通道 。 开 发 者 选择 的 标识 方法 应 当 可 
以 用 于 FTLS, 除 非 该 系统 证 明了 规范 -代码 的 一 致 性 ,否则 就 要 使 用 形式 化 或 者 非 形式 
化 源 代码 分 析 来 补充 FTLS 分 析 的 不 足 。 否 则 就 有 可 能 存在 没有 发 现 的 隐蔽 通道 。 


722 和 句法 信息 流 分 析 法 


正如 前 面 所 说 , D. Denning 提出 的 信息 流 分 析 (Syntactic Information-Flow 
Analysis) 是 第 一 个 比较 系统 的 隐蔽 通道 分 析 方法 ,但 是 这 种 方法 不 宜 分 析 操 作 系统 内 核 
这 样 规模 的 程序 ,因而 从 未 应 用 到 真实 的 系统 分 析 中 。 但 是 相 比 于 以 前 的 只 能 针对 某 项 
具体 功能 的 分 析 方 法 ,这 种 方法 使 研究 者 第 一 次 看 到 了 系统 化 分 析 操 作 系统 内 核 中 的 隐 
蔽 通道 的 希望 ,同时 还 为 后 来 出 现 的 SRM 等 方法 奠定 了 概念 基础 。 

该 法 的 目标 是 标识 系统 中 的 非法 信息 流 , 为 此 必须 首先 识别 系统 中 的 两 类 基本 的 
流 一 一 明 流 和 上 暗流。 所谓 明 流 , 指 的 是 诸如 下 面 的 赋值 语句 

B:=A 
导致 的 从 A 流向 B 的 流 , 用 B<-A 表示 。 所 谓 上 暗流 , 指 的 是 诸如 下 面 的 条 件 语句 
if A:=X then B:=Y 

这 类 条 件 语句 导致 的 流 , 表 示 为 B<-A( 当 然 此 时 也 同时 存在 明 流 B<-Y)。 这 些 流 确实 存 
在 ,并 且 可 以 用 信息 论 计 算出 每 个 语句 导致 的 具体 的 信息 流量 。 

在 这 种 方法 中 ,需要 给 每 个 程序 变量 赋予 安全 级 标签 。 进 而 需要 定义 流 策略 : 

“如 果 信 息 从 变量 A 流向 变量 B, 则 B 的 安全 级 必须 支配 变量 A 的 安全 级 ”。 

当 流 策略 应 用 于 程序 代码 时 ,可 以 从 代码 中 生成 流 公式 。 例 如 ,从 赋值 语句 :二 Y 
中 ,可 以 得 到 流 公式 : SL(X) 宇 SL(Y)。 假定 SL 是 安全 级 函数 ,SL(X) 表 示 变 量 X 的 安 
全 级 。 

下 一 步 要 证 明 从 程序 中 得 到 的 所 有 流 公式 都 是 正确 的 。 如 果 某 一 条 流 公式 无 法 被 证 
明 是 正确 的 ,这 条 语句 蕴涵 的 流 就 可 能 导致 隐蔽 通道 。 对 于 这 种 语句 ,必须 进一步 分 析 ， 
通过 研究 该 语句 的 语义 ,确定 这 个 不 能 证 明 的 流 (叫做 “潜在 隐蔽 通道 ”) 是 否 真 的 导致 隐 
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项 通道 。 潜 在 通道 不 能 成 为 真实 的 隐蔽 通道 的 原因 是 : 有 的 流 条 件 在 程序 运行 的 情况 下 
从 来 也 不 能 发 生 ,于 是 可 能 导致 隐蔽 通道 的 非法 流 也 就 从 来 不 能 真正 出 现在 系统 中 。 因 
此 确定 潜在 隐蔽 通道 能 否 成 为 真实 的 隐蔽 通道 的 关键 判 据 是 可 否 找 出 非法 流 的 真实 使 用 
场景 。 

用 句法 信息 流 法 标识 隐蔽 通道 有 如 下 优点 : 

。 可 以 直接 实现 自动 化 ; 

。 可 以 用 于 形式 化 规范 和 源 代码 ; 

。 可 以 增 量 分 析 单 个 函数 或 者 TCB 原 语 ; 

。 不 会 错过 任何 可 以 导致 隐蔽 通道 的 非法 流 。 

但 是 该 方法 从 未 在 真正 的 系统 设计 中 系统 性 的 得 以 应 用 ,原因 是 各 种 句法 信息 流 分 
析 方 法 都 不 能 避免 下 面 三 个 缺点 : 

(1) 这 种 方法 不 够 精确 ,总 是 会 找 出 很 多 伪 非 法 流 。 为 了 消除 这 些 伪 非法 流 , 就 需要 
额外 的 手工 语义 分 析 。 美 国 国 家 计算 机 安全 中 心 (National Computer Security Center， 
NCSC) 的 一 篇 报告 指出 ,使 用 各 种 流 分 析 工 具 都 会 出 现 类 似 的 问题 。 例 如 ,使 用 Ina 流 工 
具 分 析 用 Ina Jo 形式 化 规范 语言 编写 的 一 个 仅仅 21 行 的 程序 ,结果 竞 然 找 出 了 117 个 非 
法 流 , 其 中 只 有 一 个 是 真实 非法 流 。 

(2) 不 能 分 析 非 形式 化 规范 (如 自然 语言 描述 的 规范 )。 

(3) 无 助 于 找 出 安放 隐蔽 通道 处 理 代码 的 TCB 位 置 ,要 找 出 这 样 的 位 置 只 能 依靠 对 
规范 或 者 代码 的 语义 分 析 。 

上 述 句 法 信息 流 分 析 方 法 关注 的 是 实际 代码 是 否 满足 安全 模型 的 信息 流 策略 ,而 不 
是 标识 隐蔽 通道 。 所 有 的 句法 信息 流 分 析 方 法 都 假定 每 个 变量 (或 者 客体 ) 已 经 标记 了 
( 显 式 的 说 着 隐 式 的 ) 安 全 级 标签 。 这 意味 着 实际 上 句法 信息 流 法 仅 提 供 了 隐蔽 通道 标识 
的 一 部 分 必要 条 件 。Kemmerer 曾 指 出 ,隐蔽 通道 使 用 的 通信 实体 不 通常 为 数据 客体 类 
的 东西 ,因此 这 些 实体 就 不 一 定 能 被 赋予 特定 安全 级 标签 ,从 而 就 可 能 不 是 给 定 强制 安全 
模型 在 操作 系统 中 解释 的 一 部 分 。 相 反 它 们 往往 对 内 核 或 者 可 信 进 程 而 言 是 内 部 数据 ， 
其 安全 级 可 能 根据 有 安全 级 标签 的 客体 之 间 的 信息 流 而 动态 变化 。 这 样 一 来 ,对 这 些 变 
量 赋予 特定 安全 级 标签 以 发 现 内 核 代 码 中 全 部 非法 流 的 方法 势必 导致 出 现 大 量 的 伪 非 
法 流 。 

另外 ,安全 模型 的 解释 可 能 未 能 包含 一 些 系统 实现 细节 之 类 的 资源 ， EU 
行 隐蔽 通道 标识 ,就 要 让 流 分 析 包含 那些 安全 模型 的 解释 中 未 曾 包含 的 变 


723 无 干扰 分 析 


无 干扰 分 析 法 (Noninterference Analysis) 把 可 信 计 算 基 (CTCB) 视 为 一 个 抽象 机 。 这 
从 用 户 进程 的 角度 来 看 ,这 种 抽象 是 合理 的 ,因为 确实 可 以 把 TCB 视 为 提供 某 种 服务 的 
黑匣子 。 通 常 一 个 进程 的 一 个 请 求 操作 会 得 到 一 个 响应 ,例如 一 个 数据 值 , 一 个 正确 响 
应 ,或 者 一 个 出 错 消息 ,因此 该 抽象 机 把 一 个 进程 的 请 求 作 为 输入 ,把 对 它 的 响应 作为 输 
出 ,任意 给 定时 刻 抽象 机 内 部 变量 和 数据 结构 的 内 容 就 是 抽象 机 的 当前 状态 。 分 析 系 统 
时 , 源 代码 或 者 更 抽象 一 些 的 形式 化 /描述 性 顶层 规范 都 能 使 用 这 些 变 量 和 数据 结构 。 
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“无 干扰 ?概念 是 J]. Goguen 和 J. Meseguer 在 1982 年 定义 的 ,其 假定 这 个 抽象 机 有 
一 个 初始 状态 或 者 启动 状态 。 一 个 用 户 进 程 与 男 一 个 进程 无 干扰 , 指 的 是 当 系 统 删 除 来 
自 第 一 个 进程 自从 初始 状态 起 的 所 有 输入 时 (就 像 系统 中 从 未 有 这 些 输入 一 样 ), 第 二 个 
用 户 进程 观察 到 的 输出 结果 没有 变化 。Goguen 和 Meseguer 认为 ,如 果 来 自 一 个 用 户 进 
程 的 输入 不 能 影响 另 一 个 进程 的 输出 , 则 第 一 个 进程 就 不 能 向 第 二 个 进程 传送 消息 。 

令 X 和 YY 表示 抽象 机 TCB 的 两 个 用 户 进程 , 令 z 为 机 器 的 一 个 输入 序列 ,此 序列 必 
须 以 来 自 Y 的 一 个 输入 结尾 。 假 定 输入 w 时 该 机 器 处 于 初始 状态 ,并 且 对 最 后 一 个 输入 
的 响应 输出 是 Y(w)。 又 假定 w/X 是 从 w 中 删除 所 有 来 自 X 的 输入 后 剩 下 的 子 序列 。 
这 样 就 可 以 用 精确 语言 表述 的 无 干扰 概念 如 下 : 

如 果 对 于 以 来 自用 户 进程 Y 的 一 个 输入 结尾 的 任意 可 能 的 输入 序列 由 ,都 有 
Y(w) 二 Y(w/X), 则 进程 X 与 进程 了 无 干扰 。 

无 干扰 概念 将 整个 输入 序列 (包括 来 自 X 的 输入 和 来 自 Y 的 输入 ) 与 一 个 了 输出 联 
系 起 来 。 传 统 的 隐蔽 通道 分 析 认 为 只 要 进程 X 和 Y 之 间 存 在 隐蔽 通道 , 则 每 个 X 输入 
都 对 下 一 个 Y 输出 有 影响 。 然 而 无 干扰 分 析 并 不 这 样 看 。 注 意 到 用 户 进 程 Y 可 以 进行 
一 次 输入 以 要 求 任意 时 刻 的 一 个 输出 。 假 定 每 次 X 进行 输入 时 Y 都 跟着 做 一 次 输入 , 忽 
略 其 他 输入 , 则 总 输入 序列 将 是 : 

XIYIX2Y2…XY， 
对 整个 序列 的 所 有 原始 序列 都 应 用 无 干扰 的 定义 (对 整个 序列 也 这 么 做 ), 即 : 
XiY! 
X1Y1 X,Y; 


XY Xo Ys Ns 

无 干扰 概念 要 求 每 个 Y 输出 不 受 此 前 所 有 X 输入 的 影响 。 假 定 每 个 X 输入 在 经 过 
一 段 延迟 后 都 被 一 个 了 输出 报告 出 来 ,那么 无 干扰 就 要 求 分 析 此 前 的 所 有 X 输入 。 原 因 
是 如 果 义 输入 在 后 面 的 一 个 了 输出 中 出 现 ,那么 就 出 现 了 隐蔽 通道 。 由 于 无 干扰 可 以 用 
当前 状态 ,而 不 是 用 整个 历史 输入 来 表述 ,所 以 当前 状态 具有 确定 下 一 个 Y 输出 所 需 的 
全 部 信息 ,因此 就 没有 必要 分 析 此 前 的 所 有 X 的 输入 。 

显然 如 果 X 与 了 无 干扰 , 则 一 个 X 输入 就 不 能 对 下 一 个 了 输出 有 丝毫 影响 。 无 干 
扰 概 念 实际 上 比 这 个 要 求 还 要 强 , 它 要 求 一 个 X 输 入 对 任意 Y 输出 的 子 序列 都 没有 丝毫 
影响 。 为 了 避免 去 分 析 无 穷 多 的 输入 序列 ,可 以 进一步 把 TCB 的 状态 分 成 若干 等 价 类 。 

这 种 等 价 类 的 划分 方法 是 : 如 果 两 个 状态 是 Y 等 价 的 , 则 应 满足 下 列 条 件 

(1) 它们 对 相同 的 Y 输入 必须 响应 相同 的 Y 输出 ; 

(2) 任意 输入 后 对 应 的 下 一 个 状态 也 是 Y 等 价 的 。 

这 是 一 个 递归 定义 。Goguen 和 Meseguer 还 证 明了 一 个 展开 定理 (Unwinding 
Theorem) ,该 定理 陈述 如 下 概念 : X 与 了 无 干扰 , 当 且 仅 当 每 个 X 输入 都 使 状态 转化 为 
一 个 Y 等 价 状态 。J. Rushby 于 1985 年 给 出 了 该 定理 证 明 的 一 个 简化 版 本 。 展 开 定理 对 
于 无 干扰 分 析 非 常 重要 ,因为 它 给 出 了 一 个 检查 无 干扰 的 实用 方法 。 在 给 出 表明 TCB 状 
态 和 状态 转移 的 形式 化 规范 的 情况 下 ,利用 这 个 定理 就 可 以 进行 无 干扰 分 析 了 。 
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多 级 安全 策略 要 求 每 个 给 定安 全 级 的 进程 X 只 许 与 相等 安全 级 的 或 者 更 高 安全 级 
的 进程 了 存在 干扰 。 在 无 干扰 分 析 的 实践 中 应 用 这 个 策略 时 ,需要 定义 一 个 抽象 机 状态 
变量 ,并 确定 Y 等 价 状态 。 标 识 多 级 安全 系统 中 的 Y 等 价 状态 的 一 个 最 直接 的 方法 是 用 
安全 级 标签 标记 状态 变量 。 设 Y 的 安全 级 是 sl, 如果 其 安全 级 低 于 sl 的 状态 变量 值 相 
等 , 则 两 个 状态 是 了 等 价 的 。 

在 无 干扰 分 析 中 必须 证 明 三 个 性 质 : 

(1) 给 状态 变量 赋予 安全 级 必须 满足 如 下 条 件 : 任意 输入 把 等 价 状态 仍 须 转换 成 等 
价 状态 , 即 不 可 见 变 量 不 能 影响 状态 的 可 见 部 分 ; 

(2) 反馈 给 Y 的 任意 返回 值 仅 取决 于 Y 可 见 的 变量 , 即 安全 级 别 等 于 或 低 于 Y 的 级 
别 的 变量 ; 

(3) 来 自 高 安全 级 进程 X 的 任意 输入 不 能 影响 用 户 进 程 Y 可 见 的 变量 。 

无 干扰 分 析 方法 有 很 多 优点 ,例如 : 

。 这 种 方法 可 以 用 于 系统 的 形式 化 规范 和 源 代码 ; 

。 可 以 避免 发 现 伪 非法 流 ; 

。 可 以 用 于 分 析 单 个 的 TCB 函数 和 原 语 等 。 

但 是 这 种 方法 的 缺点 也 相当 明显 。 一 方面 ,无 干扰 分 析 是 一 种 “乐观 ”的 方法 ,就 是 
说 , 它 要 证 明 的 是 TCB 规范 或 者 代码 中 根本 不 出 现 干 扰 。 因 此 用 这 种 方法 最 好 是 分 析 可 
信 进 程 隔离 的 TCB 规范 ,而 不 是 用 在 包含 大 量 共享 变量 的 TCB( 如 内 核 ) 组 成 部 分 ,并 且 
迄今 为 止 还 没有 开发 出 与 无 干扰 法 配套 的 自动 化 工具 ,分 析 过 程 完全 依赖 于 人 工 操作 , 因 
此 ,对 于 大 型 系统 (变量 数目 很 多 ) 应 用 这 种 方法 显得 难以 胜任 。 这 种 方法 曾经 用 于 
LOCK 系统 的 隐蔽 通道 分 析 。T. Haigh 在 1987 年 报告 了 使 用 Gypsy 系统 验证 无 干扰 目 
标的 过 程 , 他 得 到 的 结论 是 : 真实 的 安全 操作 系统 一 般 无 法 保证 进程 间 操 作 的 无 干扰 性 。 
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共享 资源 矩阵 分 析 法 (Shared Resource Matrix, 简 称 SRM) 是 R. Kemmerer 在 1982 
年 提出 的 ,该 方法 曾经 用 于 多 个 项 目 。 在 共享 资源 矩阵 法 中 ,首先 要 统计 主体 可 以 读 或 写 
的 所 有 共享 资源 (系统 变量 ) ,然后 检查 每 个 共享 资源 ,确定 它 是 否 可 能 被 用 来 在 各 个 主体 
之 间 隐 项 地 传递 信息 ,要 完成 这 一 步 需要 仔细 研究 每 个 TCB 原 语 的 描述 。 由 于 两 个 进程 
可 能 读 写 同 一 个 共享 资源 的 不 同属 性 ,因此 还 要 进一步 精 化 ,指出 共享 资源 的 每 个 属性 。 
例如 ,第 一 个 进程 只 能 确定 一 个 共享 文件 是 否 是 锁 住 的 ,而 第 二 个 进程 只 能 观察 文件 的 
大 小 。 

使 用 共享 资源 矩阵 法 分 析 隐 项 通道 一 般 需 分 四 步 完 成 ， 

(1) 分 析 所 有 的 TCB 原 语 操作 ,确定 通过 TCB 接口 可 以 读 写 的 变量 ; 

(2) 建立 共享 资源 矩阵 ,该 矩阵 的 行头 是 用 户 可 读 / 可 写 的 TCB 变量 (这 些 变量 代表 
共享 资源 属性 ) , 列 头 是 用 户 可 以 使 用 的 TCB 原 语 , 和 矩阵 项 二 TCB 变量 ,TCB 原 语 之 是 R 
(该 原 语 能 读 该 变量 ) 或 者 W( 该 原 语 能 写 该 变量 )。 既 不 能 读 又 不 能 写 的 变量 合成 一 行 ， 
分 析 时 视 为 一 个 变量 。 

为 了 说 明 这 个 问题 ,Kemmerer 曾经 提出 一 个 虚拟 的 操作 系统 中 ,其 中 对 原 语 操作 
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Write_File 的 DTLS 的 内 容 列 示 如 下 : 


If the file js locked and the current process locked 让 ,then the value of the 

file is mdified to contain the contents of the current process's buffer 

分 析 者 看 到 关键 字 if, 就 可 以 知道 其 后 的 东西 可 能 指 的 是 被 读 访 问 的 属性 。 于 是 在 
该 操作 中 ,文件 的 locked 和 locked by 属性 以 及 current process 属性 都 被 读 访问 。 关 键 
字 modify 提醒 分 析 者 某 种 属性 被 根据 某 些 属性 写 访 问 。 该 操作 中 ,文件 的 value 属性 被 
改 为 该 进程 的 buffer 属性 中 的 值 。 这 样 Write_File 列 的 buffer, locked by, locked 和 
current process 行 包含 R( 表 示 读 访问 ) ,value 行 包 含 W( 表 示 写 访问 ) ,该 列 的 其 他 行 保 
持 “ 空 ”。 对 系统 的 每 个 原 语 反复 进行 这 个 过 程 , 得 到 图 7-10 所 示 的 矩阵 。 


Write Read Lock | Unlock | Open Close File File 
_file _file _file _lock _file _file | _locked | _opened 
Id 
Process | Access rights R R R R 
Buffer R Ww 
Id 
Security classes 及 R R R 
Locked by R Ww R 
Files 
Locked R R.W RW R R 
In-use set R R R,W 了 R,W 及 
Value R R 
Current process R R R R R R R R 


图 7-10 从 英语 系统 描述 得 到 的 共享 资源 矩阵 


(3) 对 共享 资源 矩阵 完成 传递 闭 包 ,这 是 因为 用 上 述 方法 得 到 的 共享 资源 矩阵 并 不 
完备 。 一 个 系统 原 语 操作 读 访问 的 属性 可 能 已 被 另 一 个 原 语 修改 过 ,而 后 者 还 访问 过 别 
的 属性 。 一 个 TCB 原 语 间接 读 属 性 变量 >, 指 的 是 该 原 语 可 以 读 的 属性 变量 x 能 被 某 个 
TCB 函数 写 访问 ,而 该 TCB 函数 能 够 读 变 量 y。 这 一 步 就 是 要 指出 对 变量 的 所 有 间接 读 
操作 ,并 把 相应 的 项 加 入 到 和 珑 阵 中 。 

例如 ,假定 一 个 操作 Login 读 访 问 password 文件 并 且 写 访问 Active_User 属性 。 进 
而 假定 第 二 个 操作 读 访 问 Active_User 属性 。 这 两 个 操作 的 共享 资源 矩阵 会 指示 出 对 
Active_User 的 访问 ,但 是 不 能 指示 出 第 二 个 操作 对 应 的 列 对 password 文件 的 访问 ,这 
样 一 个 用 户 可 以 用 写 入 Active_User 属性 的 方式 传送 passwd 文件 。 所 以 在 分 析 和 矩阵 中 
的 隐蔽 通道 时 要 保证 对 Active_User 的 写 访 问 没 有 泄露 有 关 passwd 文件 的 信息 ,就 必须 
找 出 矩阵 中 这 类 间接 读 访 问 。 寻 找 间接 读 的 过 程 叫做 生成 传递 闭 包 。 

生成 矩阵 的 传递 闭 包 要 靠 观察 包含 R 的 每 一 项 来 完成 。 如 果 在 这 项 出 现 的 行 中 有 
一 个 M, 则 必须 检查 包含 该 M 的 列 , 看 它 是 否 访问 了 任何 第 一 个 原 语 没有 访问 的 属性 。 
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就 是 说 如 果 包 含 该 M 的 列 在 任意 一 行 有 一 个 人 ,而 在 第 一 列 的 相应 行 没有 及 ,那么 就 在 
第 一 列 的 相应 行 加 上 一 个 R。 

例如 考虑 图 7-10 中 Write_File 所 在 的 列 。 在 该 列 的 locked 行 有 一 个 R, 而 locked 
属性 被 Lock File 原 语 写 访问 。 因 此 还 必须 看 写 访问 之 前 读 访问 了 哪个 属性 ,这 里 属性 
access rights, security classes, locked, in-use set 和 current proces 被 读 访 问 了 。 显 然 
Access rights,security classes, 和 in-use set 没有 被 Write_File 原 语 直接 访问 ,因此 必须 
把 它们 加 入 到 该 列 中 。 重 复 这 个 过 程 , 直 到 不 能 再 向 矩阵 中 增加 新 项 。 得 到 的 矩阵 就 是 
原来 矩阵 关于 访问 的 传递 闭 包 。 对 图 7-10 中 的 和 矩阵 完成 传递 闭 包 ,得 到 如 图 7-11 所 示 
的 矩阵 。 


Write Read Lock | Unlock | Open Close File File 
_file _file _file | _lock | _ file _file |_ locked|_ opened 
Id 
Process | Access rights 及 R R R R R R R 
buffer R RW 
Id 
Security classes R R R R R R R 
_ Locked by R R R,W R R R R 
Ee Locked R R R,W RW | R 及 及 
In-use set R R R RW | R,W R R 
Value R.W R 
Current process R R R R R R R R 
图 7-11 传递 闭 包 


这 里 应 当 注 意 的 是 ,如 果 对 系统 参考 手册 中 定义 的 TCB 接口 的 非 形式 化 规范 应 用 
SRM 法 ,而 不 是 对 每 个 原 语 的 内 部 TCB 规范 进行 SRM 分 析 , 那 么 进行 这 一 步骤 只 能 标 
识 出 TCB 外 面 的 进程 如 何 隐蔽 地 使 用 通过 TCB 接口 获得 的 信息 。 如 果 使 用 SRM 法 分 
析 隐 项 通道 时 把 TCB 视 为 黑匣子 ,就 可 以 省 略 传递 闭 包 的 步骤 ,原因 是 传递 闭 包 不 能 给 
出 关于 TCB 规范 和 代码 内 部 的 信息 流 的 更 多 的 信息 。 

(4) 分 析 每 一 行 , 找 出 同时 包含 R 和 W 的 行 ,并 删除 其 他 行 。 在 一 个 进程 可 以 读 
该 变量 而 另 一 个 进程 可 以 写 该 变量 时 ,如 果 后 一 个 进程 的 安全 级 高 于 前 一 个 进程 的 安 
全 级 , 则 这 个 变量 就 可 以 支持 隐蔽 通信 。 通 过 这 些 和 矩阵 项 的 分 析 , 可 以 得 到 四 种 可 能 
的 结论 : 

Q@ 如 果 两 个 通信 进程 中 间 存 在 一 条 合法 通道 (已 授权 通道 ), 则 该 通道 不 是 隐蔽 通 
道 ,标记 为 ^L”; 

@ 如 果 从 这 条 通道 无 法 得 到 有 用 的 信息 ,就 标记 为 “N”; 

@ 如 果 发 送 进 程 与 接收 进程 是 同一 个 进程 ,就 标记 为 “S”; 

@ 如 果 不 是 前 面 三 种 情况 ,就 是 潜在 隐蔽 通道 ,标记 为 “P”。 
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在 总 结 分 析 结 果 的 时 候 , 每 一 个 通道 的 标签 都 会 被 用 到 。 
(5) 分 析 该 矩阵 的 所 有 项 , 找 出 潜在 隐蔽 通道 的 使 用 场景 。 只 有 找 出 使 用 场景 的 通 
道 才 是 真实 隐蔽 通道 。 
SRM 法 应 用 范围 广 , 使 用 灵活 方便 ,因此 在 使 用 中 表现 出 很 大 的 优越 性 ,具体 来 说 ， 
SRM 法 有 如 下 优点 : 
。 该 方法 不 但 可 以 用 于 分 析 TCB 软件 和 硬件 的 形式 化 和 非 形 式 化 规范 (如 DTLS 
和 FTLS), 还 可 以 用 于 TCB 源 代码 分 析 。 共 享 资源 矩阵 法 的 优点 是 可 以 用 于 系 
统 的 各 种 描述 形式 ,也 是 唯一 一 种 可 以 用 于 DTLS 的 隐蔽 通道 分 析 方 法 。 
。 它 不 区 分 隐蔽 存储 通道 和 隐蔽 定时 通道 ,原则 上 可 以 分 析 这 两 种 通道 。 不 过 实际 
分 析 隐 项 定时 通道 还 需要 若干 假设 条 件 。 
。 该 方法 不 要 求 对 矩阵 中 出 现 的 内 部 TCB 变量 赋予 安全 级 标签 ,从 而 消除 了 伪 非 
法 流 的 隐患 。 
但 是 不 给 变量 赋予 安全 级 标签 也 有 一 些 副 作用 : 
。 SRM 不 能 证 明 单个 的 TCB 原 语 ( 或 者 原 语 对 ) 是 安全 隔离 的 , 即 没 有 非法 流 存 
在 。 因 此 增 量 分 析 新 的 TCB 原 语 十 分 不 便 。 
。 SRM 分 析 可 能 会 标识 出 一 些 采 用 信息 流 分 析 法 本 来 应 当 自 动 过 滤 掉 的 潜在 隐蔽 
通道 。 
虽然 SRM 可 以 用 于 分 析 源 代码 ,但 是 至 今 仍然 没有 自动 从 TCB 源 代码 中 构造 出 共 
享 资源 矩阵 的 工具 出 现 ,恰恰 这 是 个 最 耗 时 间 、 最 费力 的 步骤 。 同 时 用 手工 方法 从 源 代 码 
中 构造 矩阵 还 很 容易 出 错 。 
SRM 法 相 比 于 句法 信息 流 法 的 最 大 优势 是 : 它 可 以 用 于 分 析 TCB 的 非 形式 化 顶层 
规范 。 不 过 如 果 DTLS 细节 过 少 ,这 种 优势 就 意义 不 大 了 。 因 此 用 于 隐蔽 通道 分 析 的 
DTLS 一 定 要 比较 详细 地 对 系统 进行 了 描述 。 
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如 前 所 述 ,Denning 的 信息 流 方法 首先 假定 了 每 个 变量 或 客体 都 带 有 特定 安全 级 标 
签 或 存 取 类 ( 显 式 的 或 者 隐 式 的 ) ,但 是 这 个 假定 是 不 太 合理 的 。 这 是 由 于 隐蔽 通道 使 用 
的 变量 并 非 平 时 视 为 数据 客体 的 变量 ,从 而 也 就 不 是 操作 系统 的 指定 非 自主 安全 模型 的 
解释 的 一 部 分 ,所 以 它们 未 必 能 被 标记 上 特定 的 (固定 ) 安 全 级 。 这 些 变量 的 安全 级 别 能 
根据 有 标签 的 客体 之 间 的 信息 流 而 动态 变化 。Tsai 与 Gligor 等 从 修改 这 个 假定 入 手 , 借 
鉴 了 Denning 信息 流 分 析 和 Kemmerer 共享 资源 矩阵 法 的 优点 ,设计 出 语义 信息 流 法 
(Information-Flow Analysis with Semantic Component) ,并 在 安全 Xenix 项 目 中 用 这 种 
方法 进行 了 隐蔽 通道 分 析 工作 。 

这 种 标识 方法 是 建立 在 如 下 工作 的 基础 上 的 : 

(1) 分 析 编 程 语言 的 语义 .代码 和 内 核 中 使 用 的 数据 结构 , 找 出 变量 的 可 见 性 /可 变 
更 性 。 

(2) 解决 内 核 变量 的 别名 ,确定 其 间接 可 变更 性 。 

(3) 通过 对 代码 的 信息 流 分 析 ,确定 内 核 变 量 的 间接 可 见 性 。 
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确定 变量 经 过 内 核 原 语 的 可 见 性 /可 变更 性 .解决 变量 别名 和 对 代码 的 信息 流 分 析 
是 标识 潜在 隐蔽 存储 通道 的 关键 步 又。 其 中 确定 变量 经 过 一 个 或 多 个 内 核 原 语 的 可 
见 性 /可 变更 性 ,以 及 确定 内 核 原 语 共 享 的 变量 都 要 经 过 一 系列 的 步骤 。 完 成 这 些 步 
又 之 后 ,才能 把 安全 模型 解释 中 所 指定 的 ,并 在 代码 中 实现 的 强制 规则 ( 即 安 全 或 完整 
性 规则 ) 应 用 到 共享 变量 和 内 核 原 语 上 。 由 于 此 时 共享 变量 的 安全 级 已 经 可 以 从 包含 
在 变量 之 间 的 信息 流 内 的 客体 的 级 别 加 以 确定 ,因此 这 种 方法 避免 了 “ 伪 非 法 流 ”。 这 
种 方法 还 有 一 个 优点 , 它 能 找 出 内 核 代 码 中 共享 变量 被 查看 /变更 的 位 置 , 从 而 有 助 于 
确定 安置 处 理 隐蔽 通道 所 用 的 审计 代码 和 时 间 延 迟 变 量 的 位 置 ,以 及 实施 非 自 主 策略 
的 存 取 检查 的 具体 位 置 。 

采用 语义 信息 流 法 标识 隐蔽 通道 的 一 般 方 法 分 为 三 个 步 又 : 


1. 选择 内 核 原 语 以 便 分 析 

Tsai 认为 ,并 非 所 有 内 核 原 语 都 能 构成 隐蔽 通道 。 在 安全 Xenix 的 隐蔽 通道 分 析 
中 ,特权 内 核 原 语 ( 用 于 审计 、 挂 装 / 印 装 文件 系统 .设置 时 钟 . 关 闭 系统 .设置 安全 /完整 性 
标签 等 的 原 语 ) 和 只 有 特权 (管理 ) 用 户 可 用 的 原 语 都 被 排除 在 分 析 之 外 。 


2 确定 内 核 变量 的 可 读 性 和 可 写 性 

(1) 通过 分 析 编 程 语言 语义 确定 内 核 变 量 的 直接 可 读 性 和 可 写 性 。 

如 果 调 用 内 核 原 语 的 用 户 进程 能 侦查 到 一 个 变量 的 值 变化 , 则 该 变量 对 于 这 个 原 语 
而 言 是 可 读 的 。 从 下 列 判 据 可 以 确定 变量 的 直接 可 见 性 : 

。 变量 的 值 从 原 语 的 入 口 点 函数 返回 。 

。 从 原 语 的 入 口 点 函数 至 少 可 以 返回 变量 两 个 不 同 的 值 。 

在 两 种 情况 下 , 原 语 可 以 返回 变量 的 值 : 原 语 完成 或 者 发 生 了 某 种 错误 条 件 导 致 原 
语 执行 终止。 

如 果 一 个 变量 的 值 能 被 构成 这 个 原 语 的 任意 内 部 函数 修改 , 则 称 该 变量 对 于 这 个 原 
语 而 言 是 可 写 的 。 导 致 变量 直接 可 变更 的 动作 包括 变量 值 的 增 / 减 ,赋值 操作 ,插入 列表 ， 
删除 列表 项 ,分 配 表格 项 ,释放 表格 项 等 。 

通过 信息 流 分 析 确 定 间接 可 读 性 。Tsai 首先 推导 出 C 语言 的 语句 蕴涵 的 信息 流 语 
义 , 即 执行 一 条 C 语句 能 够 导致 的 信息 流动 。 如 果 用 Vb 一 Va 表示 从 一 个 变量 Va 到 另 
一 个 变量 Vb 的 信息 流动 , 则 可 以 得 到 一 系列 变量 之 间 信 息 流动 的 规则 。 例 如 : 对 于 选 
择 语句 让, 有 


if(vae==k) {vo=m;} else {vc=n}=> [be 一 vavceva)] 


然后 利用 信息 流 关系 的 传递 性 ,可 以 找 出 一 个 原 语 间 接 可 读 的 内 核 变 量 。 
(2) 决定 每 个 原 语 内 的 变量 别名 。 
系统 中 表示 同一 个 变量 的 变量 名 称 称 做 变量 别名 。 为 了 编程 的 方便 ,一 个 变量 往往 
拥有 几 个 名 字 。 在 分 析 系 统 的 隐蔽 通道 时 ,应 该 解决 变量 别名 问题 ,统一 变量 的 名 字 。 在 
分 析 中 通常 把 所 有 的 别名 都 用 其 最 初 的 变量 名 代 换 。 这 样 代 表 同 一 个 客体 的 变量 只 有 一 
个 名 学 。 
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(3) 标识 在 原 语 间 共 享 的 用 户 进程 可 读 / 可 写 的 变量 ,去 掉 局 部 变量 。 


3. 通过 对 共享 变量 和 内 核 原 语 应 用 由 安全 模型 解释 来 的 强制 存 取 规则 来 
分 析 共 享 变 量 和 标识 隐蔽 通道 

这 种 分 析 与 SRM 法 中 对 每 个 矩阵 项 进行 的 分 析 一 样 ,分 析 结 果 也 采用 Kemmerer 
提出 的 记号 法 。 

这 种 方法 是 第 一 种 形式 化 的 隐蔽 通道 分 析 方 法 ,成 功 地 分 析 了 安全 Xenix 系统 中 的 
隐藏 存储 通道 。 在 真实 系统 中 应 用 这 个 方法 需要 投入 大 量 手工 劳动 ,并 且 需 要 高 超 的 技 
巧 。 因 此 在 真实 系统 分 析 中 使 用 这 个 方法 最 好 能 使 用 自动 化 的 工具 。 尽 管理 论 上 这 种 方 
法 可 以 用 于 采用 任何 编程 语言 实现 的 系统 ,不 过 自动 分 析 工 具 必 须 为 不 同 的 编程 语言 构 
造 不 同 的 词法 分 析 器 和 流 生成 器 。 

He 与 Gligor 等 开发 了 一 种 完成 语义 信息 流 分 析 的 自动 化 工具 ,这 种 工具 用 于 检查 
通过 一 个 TCB 可 以 看 到 的 信息 流 , 并 且 能 从 找 出 的 流 中 挑 出 非法 流 。 这 种 分 析 使 用 系统 
的 强制 安全 模型 在 源 代 码 的 中 解释 ,因此 没有 伪 流 的 问题 。 虽 然 这 种 方法 原则 上 可 以 用 
于 各 种 系统 ,不 过 由 于 强制 安全 模型 在 不 同系 统 代码 中 的 解释 可 能 各 不 相同 ,所 以 该 工具 
的 语义 分 析 部 分 必须 做 出 相应 修正 。 从 潜在 通道 中 分 离 出 真实 的 通道 的 唯一 手段 仍然 是 
手工 构造 使 用 场景 ,不 过 与 从 非法 流 中 分 离 潜 在 隐蔽 通道 相 比 ,从 潜在 通道 中 分 离 出 真实 
通道 的 工作 量 要 小 很 多 ,原因 是 潜在 通道 的 数目 远 远 小 于 通过 TCB 接口 的 信息 流 的 数目 
(一 般 要 差 若 干 个 数量 级 )。 
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这 种 方法 是 R. Kemmerer 和 P. Porras 在 1991 年 提出 的 ,可 以 视 为 对 SRM 法 的 一 
个 发 展 。 隐 项 流 树 (CFT) 使 用 树 结构 将 信息 从 一 个 共享 资源 向 另 一 个 共享 资源 的 流动 过 
程 建 模 ,实现 了 对 通过 共享 变量 属性 发 送 ,能 被 监听 进程 接收 的 通信 的 系统 化 搜索 ,从 而 
提供 了 查找 隐蔽 通道 场景 的 方法 。 

本 方法 借鉴 了 故障 树 分 析 的 思想 。 故 障 树 分 析 是 一 种 广泛 应 用 于 工程 实践 中 的 系统 
可 靠 性 和 可 用 性 预测 方法 , 它 在 系统 设计 过 程 中 ,通过 对 可 能 造成 系统 失效 的 各 种 因素 
(例如 硬件 、 软 件 、 环 境 、 人 为 等 因素 ) 进 行 分 析 , 画 出 逻辑 框图 ( 即 故障 树 ), 从 而 确定 有 关 
系统 失效 原因 的 各 种 可 能 组 合 方式 。 

CFT 的 基本 思想 是 : 一 个 不 直接 泄露 系统 资源 属性 内 容 的 系统 原 语 操作 ,可 能 在 沁 
露 资源 属性 信息 的 系列 动作 中 发 挥 中 介 作 用 。 按 这 样 的 思路 构造 的 CFT 类 似 于 搜索 树 ， 
从 最 终 目标 出 发 , 找 出 要 达到 这 个 目标 必 备 的 条 件 , 这 些 条 件 本 身 成 为 了 子 目 标 ,子路 径 
就 此 延伸 下 去 ,直到 子路 径 以 无 条 件 的 原 语 结束 ,或 者 因 和 迭代 次 数 达 到 了 预定 的 数值 而 终 
止 (因为 子路 径 可 能 是 无 限 的 ) ,这 样 通过 演绎 推理 就 可 以 找 出 场景 。 

CFT 的 目标 是 标识 出 能 直接 或 者 间接 读 出 特定 资源 属性 内 容 的 操作 序列 。 这 种 
“ 读 ” 指 的 是 进程 能 侦察 到 属性 发 生 了 变化 ,而 并 非 是 进程 要 确 知 属性 的 新 值 ,因此 下 面 用 
“识别 ?来 表示 这 种 读 操作 。 识 别 分 为 两 种 : 直接 识别 和 间接 识别 。 前 者 指 的 是 返回 属性 
的 值 的 操作 ,后 者 指 的 是 基于 该 属性 (如 A) 的 值 修改 另 一 属性 值 ( 如 B) 的 操作 。 如 果 B 
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被 修改 了 ,那么 就 出 现 了 一 个 子 目 标 , 应 该 按照 上 述 过 程 迭代 下 去 。 


构造 CFT 使 用 了 五 种 记号 , 见 图 7-12。 
GOAL OPERATION FAILURE 


OR-GATE AND-GATE ”SYMBOL SYMBOL SYMBOL 


图 7-12 构造 CFT 使 用 的 记号 


前 两 个 是 构造 树 所 用 的 门 符号 ,包括 或 门 和 与 门 。 第 三 个 是 目标 符号 。 目 标 符号 表 
示 为 达到 最 终 目 标 而 需要 满足 的 子 目 标 。CEFT 中 规定 了 6 个 子 目标 : 修改 .识别 .直接 识 
别 .间接 识别 .通过 推断 .识别 新 状态 。 第 四 个 是 操作 符号 ,相应 于 电路 图 中 的 基本 事件 符 
号 。 这 些 符 号 被 用 于 树 的 叶子 ,代表 一 个 原 语 操作 。 最 后 一 个 是 失败 符号 ,用 来 中 止 那些 
不 能 被 满足 的 子路 径 。 

构造 隐蔽 流 树 所 需要 的 信息 与 共享 资源 矩阵 法 需要 的 信息 完全 相同 。 不 过 这 里 把 每 
个 操作 都 用 三 个 列表 表示 : 引用 列表 、 修 改 列 表 和 返回 列表 。 引 用 列表 包含 该 原 语 操作 
进行 读 访 问 的 系统 资源 属性 ,修改 列表 包含 该 原 语 操作 进行 写 访 问 的 系统 资源 属性 ,返回 
列表 包含 该 原 语 操作 能 够 返回 其 状态 的 系统 资源 属性 。 

下 面 介 绍 分 析 过 程 。 首 先 确 定 要 分 析 的 系统 资源 属性 ,把 这 个 属性 作为 树 的 根 结 点 。 
隐蔽 流 树 由 发 送 者 所 做 的 对 资源 属性 的 修改 动作 序列 ,和 由 接收 者 所 做 的 察觉 对 该 资源 
属性 的 修改 的 侦察 动作 序列 组 成 。CFT 的 左 子 树 是 由 发 送 者 所 做 的 修改 该 资源 属性 的 
动作 序列 组 成 的 ,而 CFT 的 右 子 树 则 是 由 接收 者 所 做 的 察觉 对 该 资源 属性 的 修改 的 侦察 
动作 序列 组 成 的 。 

于 是 左 子 树 被 称 为 修改 子 树 ,其 先 把 修改 目标 符号 链接 到 根 目标 符号 上 ,这 个 符号 代 
表 发 送 者 必须 有 能 力 修改 属性 A。 然 后 那些 能 够 使 发 送 者 修改 属性 A 的 操作 符号 被 链 
接 到 修改 符号 上 。 如 果 没 有 任何 操作 能 够 修改 属性 A, 那 么 算法 就 认为 属性 A 不 能 用 于 
隐蔽 通道 可 以 利用 的 信息 载体 。 如 果 有 至 少 一 个 操作 可 以 修改 属性 A, 那 么 树 算法 会 接 
着 转向 构造 识别 子 树 的 阶段 。 

类 似 的 右 子 树 被 称 为 识别 子 树 , 其 首先 添加 一 个 识别 目标 符号 到 根 的 与 门 ,表示 接收 
者 有 能 力 识别 属性 A 的 修改 。 识 别 能 通过 两 种 方法 实现 : 直接 识别 和 间接 识别 。 因 此 把 
两 种 符号 通过 或 门 都 链接 到 识别 符号 。 

为 完成 直接 识别 子路 径 ,任何 返回 列表 中 包含 属性 A 的 操作 都 被 链接 到 直接 识别 
符号 。 如 果 没 有 操作 在 返回 列表 中 包含 属性 A, 则 一 个 失败 符号 就 被 链接 到 直接 识别 
符号 。 

第 二 个 识别 属性 值 的 方法 是 通过 推断 识别 。 推 断 识 别 需要 满足 以 下 两 个 条 件 : 第 
一 ,必须 有 一 个 操作 参考 属性 A 的 值 ;第 二 ,对 于 每 个 参考 属性 A 的 值 的 操作 ,其 修改 列 
表 中 必须 至 少 包含 一 个 属性 。 为 完成 推断 识别 路 径 , 一 个 通过 推断 符号 被 链接 到 间接 识 
别 符号 上 。 如 果 没 有 操作 满足 这 些 条 件 , 那 么 就 把 失败 操作 符号 链接 到 间接 识别 符号 上 。 
然后 每 个 通过 推断 符号 被 链接 两 个 子 符号 : 一 个 是 满足 间接 识别 方案 的 符号 , 另 一 个 是 
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识别 新 状态 符号 , 它 说 明了 一 个 指向 识别 那些 新 被 修改 的 属性 的 路 径 。 这 两 个 符号 通过 
与 门 链接 到 通过 推断 符号 。 识 别 新 状态 符号 继续 扩展 子路 径 ,为 每 个 被 修改 的 属性 都 有 
一 个 识别 符号 被 链接 到 识别 新 状态 符号 。 每 个 识别 符号 都 以 类 似 的 方式 处 理 。 因 此 识别 
每 个 被 修改 的 属性 都 是 这 样 循环 进行 的 。 如 前 所 述 ,最 后 的 目标 是 直接 识别 出 最 后 被 修 
改 的 属性 。 为 了 使 树 不 会 无 限制 地 增长 , 设 定 一 个 参数 REPEAT 用 来 控制 在 识别 路 径 
上 一 个 属性 最 多 可 以 被 重复 识别 的 次 数 ,通过 控制 树 的 深度 可 以 避免 因 树 无 限制 的 增长 
而 耗 尽 内 存 资源 。 图 7-13 是 由 Kemmerer 给 出 的 一 个 隐蔽 流 树 的 例子 。 
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图 7-13 隐蔽 流 树 的 一 个 例子 


周游 CFT 就 能 得 到 发 送 者 发 送信 息 和 接收 者 接收 信息 的 动作 序列 。 分 析 CFT 产生 
的 操作 序列 要 分 三 步 。 首 先 ,要 简化 或 者 扩展 每 个 操作 序列 ,删除 元 余 的 序列 。 第 二 步 ， 
识别 并 删除 要 求 发 送 方 和 接 接收 方 拥有 可 以 合法 通信 特权 的 操作 序列 。 第 三 步 ,使 用 剩 
下 的 操作 序列 构造 隐蔽 通道 场景 。 
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727 潜在 隐蔽 通道 


对 顶层 规范 (包括 描述 性 顶层 规范 DTLS 和 形式 化 顶层 规范 FTLS) 进 行 静 态 的 隐蔽 
通道 分 析 能 得 到 所 有 可 能 存在 的 隐蔽 通道 ,或 者 说 潜在 的 隐蔽 通道 。 其 中 的 一 些 潜在 隐 
蔽 通道 并 没有 真实 的 使 用 场景 ,永远 也 不 会 成 为 真正 的 安全 威胁 。 系 统 动 态 运 行 时 ,只 有 
特定 的 条 件 才能 促使 发 生 特 定 的 流 ,每 个 流 都 是 在 一 定 条 件 下 发 生 的 。 潜 在 隐蔽 通道 不 
一 定 能 成 为 真实 隐蔽 通道 ,原因 在 于 : 系统 运行 的 时 候 , 有 些 代 码 或 规范 中 存在 的 条 件 不 
能 作为 一 个 真实 事件 发 生 , 于 是 依赖 于 这 些 条 件 成 立 才 能 发 生 的 非法 流 就 不 存在 ,也 就 根 
本 不 能 建立 起 真正 的 隐蔽 通道 。 此 外 对 隐蔽 通道 变量 的 读 写 操作 可 能 与 场景 要 求 的 读 写 
操作 无 法 保持 一 致 ,也 是 一 个 重要 的 原因 。 例 如 ,一 个 变量 的 域 可 能 被 写 访问 ,但 是 它 不 
能 用 在 隐蔽 通道 场景 中 ;与 一 个 通道 相关 的 TCB 原 语 并 不 同时 都 出 现在 隐蔽 通道 的 真实 
场景 中 ,到 底 能 否 使 用 一 个 通道 的 某 些 TCB 原 语 传送 信息 要 取决 于 该 原 语 使 用 哪些 参 
数 , 以 及 处 于 什么 样 的 TCB 状态 。UNIX 中 有 一 些 典型 的 例子 ,两 个 系统 调用 read 和 
write 都 调用 同一 个 内 部 函数 rdwr, 不 过 传递 给 这 个 函数 的 参数 不 同 , 前 者 传递 mode 一 
FREAD, 后 者 传递 mode 一 FWRITE, 所 以 对 内 部 函数 rdwr 的 隐蔽 通道 分 析 会 得 出 rdwr 
内 的 所 有 信息 流 。 但 是 系统 调用 write 不 会 使 用 条 件 mode 一 FREAD 下 的 流 , 原 因 在 于 
系统 运行 时 这 个 条 件 不 会 变 成 TRUE; 同 理 ,系统 调用 read 也 不 会 使 用 条 件 mode = 
FWRITE 下 的 流 。 要 确定 一 个 潜在 隐蔽 通道 是 否 是 真实 的 隐 项 通道 ,必须 要 找 出 能 够 促 
使 非法 流 发 生 的 真实 场景 。 对 于 写 操作 write, 条 件 
mode 二 FREAD 下 调用 内 部 函数 rdwr 所 产生 的 潜在 隐蔽 
通道 就 不 能 成 为 真实 的 隐蔽 通道 ;对 于 read, 条 件 mode 王 
FWRITE 下 调用 内 部 函数 rdwr 所 产生 的 潜在 隐蔽 通道 
也 不 能 成 为 真实 的 隐蔽 通道 。 对 于 这 些 潜 在 隐蔽 通道 根 
本 不 存在 真实 的 实用 场景 ,因此 ,也 就 不 能 构成 真实 隐蔽 
通道 。 图 7-14 说 明了 这 个 问题 。 图 7-14 内 部 函数 rdwr 中 的 流 

其 中 O 〇 + 〇 二 +; rdwr 内 的 全 部 流 。 

名 OO) 是 系统 调用 read 和 write 都 可 以 利用 的 流 。 

是 仅 系 统 调 用 read 可 以 利用 的 流 。 

〇 是 仅 系 统 调用 write 可 以 利用 的 流 。 


7.3 隐蔽 通道 的 带宽 计算 技术 


隐蔽 通道 最 重要 的 参数 是 带宽 (bandwidth) ,带宽 就 是 通道 中 信息 传递 的 速率 , 即 既 
定时 间 内 在 通道 中 通过 的 信息 量 , 其 单位 是 比特 / 秒 。 通 过 带宽 评估 确定 ,可 以 帮助 判断 
已 识别 隐蔽 通道 的 危险 性 。 

橘 皮 书 要 求 计算 隐 项 通道 的 带宽 :“ 系 统 开发 者 要 确定 (通过 实测 或 者 工程 估算 ) 每 
个 已 标示 通道 的 最 大 带宽 ”。 计 算 最 大 可 达 带 宽 时 总 是 假定 隐蔽 通道 没有 噪声 ( 即 进 行 测 
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量 时 系统 中 没有 发 送 者 和 接收 者 之 外 的 进程 ) ,并且 进程 同步 时 间 可 以 忽略 不 计 。 无 论 采 
用 哪 种 方法 计算 带宽 ,选择 TCB 原 语 都 要 以 通道 的 真实 使 用 场景 为 基础 ,并 且 要 考虑 到 
与 通道 有 关 的 TCB 状态 依赖 参数 。 橘 皮 书 还 要 求 说 明 每 次 测量 的 系统 配置 和 结构 参数 ， 
用 以 保证 这 种 测量 过 程 的 可 重复 性 ,以 便 评估 人 员 评 估 系 统 开 发 者 的 带宽 测量 结果 。 此 
外 , 橘 皮 书 还 对 Al 级 别 评估 特别 提 到 了 方法 上 的 要 求 :“ 在 (隐蔽 通道 ) 分 析 中 要 使 用 形 
式 化 方法 ”。 

本 节 首 先 讨论 影响 隐 滴 通道 带宽 计算 的 各 种 因素 ,这 些 因素 包括 选择 的 TCB 原 语 ， 
参数 和 状态 ,以 及 通道 集成 等 。 然 后 介绍 两 种 计算 带宽 的 方法 ,一 种 是 基于 信息 论 的 形式 
化 方法 ,一 种 是 基于 马尔 科 夫 过 程 的 非 形式 化 方法 。 


731 影响 带宽 计算 的 因素 
隐蔽 通道 的 带宽 受 下 列 因素 影响 。 


1. 噪声 和 延迟 

在 操作 系统 或 者 硬件 平台 中 ,影响 隐蔽 通道 带宽 的 两 个 最 重要 的 因素 就 是 通道 的 发 
送 和 接收 过 程 中 出 现 的 噪音 和 延迟 。 图 7-6 中 出 现 的 进程 U,…U, 就 是 噪声 源 ,各 种 硬件 
资源 在 接收 者 和 发 送 者 之 间 调 度 时 ,这 些 进程 的 介入 能 使 得 通道 带宽 明显 降低 ( 据 Tsai 
等 人 的 分 析 , 可 以 把 通道 带宽 降低 75%)。 不 过 带宽 降低 能 否 到 达 这 个 程度 要 取决 于 多 
道 程序 系统 的 结构 以 及 系统 的 载荷 。 


2 编码 和 记号 分 布 

一 般 来 说 ,最 大 可 达 带 宽 跟 接收 者 与 发 送 者 共同 选取 的 编码 方案 有 关 。Millen 指出 
总 是 存在 与 消息 空间 的 记号 分 布 相对 应 的 最 大 可 达 带 宽 的 编码 方案 。 不 过 非 形式 化 隐藏 
通道 分 析 通 常 假定 一 个 0 或 者 一 个 1 代表 每 个 要 传递 的 记号 。 这 样 0 和 1 的 分 布 就 成 了 
影响 带宽 计算 的 重要 因素 。 如 果 传 递 一 个 0 与 传递 一 个 1 所 需 时 间 大 致 相等 ,就 可 以 假 
定 以 近似 相等 的 频率 使 用 0 和 1。 这 种 假定 建立 在 离散 无 记忆 通道 的 带宽 只 有 在 这 种 分 
布下 才能 最 大 化 这 个 基础 上 。 后 文 介绍 的 计算 最 大 带宽 的 两 种 方法 中 , 非 形式 化 方法 假 
定 这 种 分 布 ,而 基于 信息 论 的 方法 则 不 需要 这 种 假定 。 

非 形式 化 带宽 计算 方法 通常 无 法 算出 最 大 可 达 带 宽 , 原 因 是 未 必 恰 好 使 用 最 佳 的 编 
码 技术 。 形 式 化 方法 不 仅 能 精确 算出 最 大 可 达 带 宽 , 还 能 帮助 找 出 达到 最 大 可 达 带 宽 的 
编码 方案 。 


3.TCB 原 语 的 选择 

大 多 数 系统 中 ,每 个 隐蔽 通道 都 是 多 个 TCB 原 语 有 关 。 例 如 多 数 UNIX 隐藏 通道 
变量 都 能 被 10 一 40 个 原 语 写 访问 或 者 读 访 问 。 这 些 原 语 中 间 , 有 的 带宽 较 大 ,有 的 带宽 
较 小 ,应 该 选取 能 达到 最 大 带宽 的 原 语 计算 这 个 通道 的 带宽 。 虽 然 计算 每 个 原 语 的 速度 
时 假定 系统 中 只 有 发 送 者 和 接收 者 两 个 进程 ,但 是 不 能 脱离 通道 的 使 用 场景 (即使 用 通道 
时 不 能 忽略 对 参数 和 TCB 状态 条 件 的 使 用 ) 。 否 则 计算 出 的 带宽 就 会 偏 高 或 者 偏 低 。 这 
样 在 做 通道 处 理 决策 时 ,就 可 能 会 丽 忽 了 本 该 处 理 的 通道 (根据 偏 低 的 带宽 ) ,或 者 采用 了 
过 分 降低 系统 性 能 的 延迟 措施 (根据 偏 高 的 带宽 ) 。 
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4 测量 和 使 用 场景 
隐蔽 通道 的 TCB 原 语 的 性 能 测量 不 仅 要 求 包含 读 访问 原 语 和 写 访 问 原 语 ,还 要 包括 
为 读 写 变量 设置 环境 的 初始 化 原 语 。 读 写 原 语 的 环境 初始 化 原 语 可 能 不 同 ,例如 写 访问 
一 个 变量 以 传递 一 个 1 与 写 访问 一 个 变量 以 传递 一 个 0 所 用 的 初始 化 原 语 就 可 能 不 一 
样 , 读 访问 一 个 变量 以 接收 一 个 1 与 读 访 问 一 个 变量 以 接收 一 个 0 所 用 的 初始 化 原 语 也 
可 能 不 一 样 。 进 而 同一 个 原 语 在 设置 ( 读 ) 一 个 0 或 者 一 个 1 时 所 用 时 间 也 可 以 不 一 样 
(是 否 返 回 一 个 error) 。 隐 项 通道 的 场景 决定 了 需要 考虑 哪些 环境 初始 化 原 语 。 下 文 将 
举例 说 明 不 同 的 环境 初始 化 原 语 在 两 个 真实 UNIX 隐蔽 通道 中 的 使 用 情况 。 
需要 测量 的 还 有 进程 间 切 换 时 间 和 上 下 文 切换 时 间 , 原 因 是 用 隐蔽 通道 传送 每 个 信 
息 比 特 期 间 需 要 在 发 送 者 和 接收 者 之 间 至 少 进行 两 次 控制 权 转 移 。 在 多 数 操作 系统 中 ， 
测量 最 短 进程 切换 时 间 是 一 件 相当 复杂 的 任务 。 原 因 是 每 次 进程 切换 的 测量 环境 都 不 
同 ,每 次 测 得 的 切换 时 间 可 能 得 到 相差 很 大 的 值 。 有 时 一 次 进程 切换 可 能 使 一 些 原 语 产 
生 调 用 的 副作用 ,这 时 就 很 难 精确 测 出 一 次 进程 切换 的 时 间 。 在 进程 从 一 个 进程 切换 到 
另 一 个 进程 的 过 程 中 ,系统 还 可 能 调度 其 他 进程 ,从 而 给 切换 时 间 增 加 了 无 规则 的 延迟 。 
消除 每 次 进程 切换 时 间 测 量 值 差 异 的 一 个 办 法 是 保证 测量 时 系统 中 只 有 几 个 进程 ,然后 
反复 测量 多 次 (如 一 万 次 ) ,以 增加 测量 结果 的 可 信和 度 。 
隐蔽 通道 的 真实 使 用 场景 还 包括 收发 同步 。 这 个 同步 延迟 了 隐蔽 通道 ,降低 了 通道 
的 带宽 ,然而 由 于 不 能 预计 同步 场景 (这 属于 收发 者 之 间 的 私人 约定 范围 ) ,一 般 忽 略 同步 
导致 的 带宽 降低 。 这 个 假定 有 助 于 计算 最 大 带宽 。 
所 有 的 原 语 测量 和 进程 切换 时 间 测 量 方法 都 必须 是 可 以 重复 的 ,以 便 其 他 人 可 以 验 
证 带宽 计算 结果 。 
5 系统 配置 和 初始 化 
TCB 原 语 测量 和 进程 间 切 换 时 间 都 跟 系 统 结构 参数 关系 密切 ,具体 来 讲 这 些 参 
数 有 : 
。 系统 各 部 分 的 速度 (例如 磁盘 、 内 存 和 CPU 的 速度 ); 
。 系统 配置 (例如 是 否 使 用 高 速 缓存 ); 
。 各 个 配置 的 大 小 (如 内 存 大 小 ,高 速 缓存 大 小 ); 
。 配置 的 初始 化 。 
隐蔽 通道 对 内 存 大 小 的 依赖 性 不 是 很 明显 。 但 是 对 除 内 存 大 小 外 ,完全 相同 配置 的 
两 个 系统 的 进行 同样 的 测量 也 可 能 会 得 到 不 同 的 结果 ,原因 在 于 内 存 小 的 那个 系统 的 原 
语 设置 环境 时 由 于 需要 较 多 的 交换 和 缓存 管理 而 显得 比较 慢 , 当 然 这 只 是 在 内 存 小 过 一 
定 限度 时 才 会 发 生 这 样 的 情况 ,这 个 限度 就 是 当前 内 存 太 小 ,以 至 于 已 经 影响 到 了 系统 的 
正常 调度 活动 。 
6 瞬间 通道 
这 种 通道 专 指 传 送 完 一 定数 目的 数据 后 就 消失 的 通道 。 正 常情 况 下 ,带宽 计算 方法 
适用 于 可 以 持续 存在 的 通道 ,而 瞬时 通道 不 算 这 种 通道 。 不 过 如 果 从 瞬时 通道 能 泄露 大 
量 数据 ,就 要 在 带宽 计算 时 考虑 它 ,因为 其 威胁 已 经 是 真实 存在 的 。 
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1. 基于 信息 论 的 形式 化 方法 

J. K. Millen 在 1989 年 提出 一 种 基于 信息 论 的 计算 带宽 方法 。 这 种 方法 假定 隐蔽 通 
道 没 有 噪声 ,通道 工作 期 间 系 统 中 没有 接收 者 和 发 送 者 之 外 的 进程 ,收发 同步 也 不 需要 时 
间 。 在 计算 最 大 可 达 带 宽 的 前 提 下 ,这 些 假 设 都 是 合理 的 。 根 据 这 些 假 定 , 可 以 把 多 数 隐 
蔽 通道 建 模 成 有 限 状态 机 ( 见 图 7-15) ,而 这 些 图 都 是 确定 性 的 ,原因 是 对 于 任意 状态 转 
移 而 言 , 图 中 与 每 个 给 定 通道 记号 (例如 0 或 者 1) 
相对 应 的 只 有 一 个 下 一 状态 。 下 面 的 图 7-15 是 一 ola 
个 两 状态 图 。 工 程 实践 中 出 现 的 隐蔽 通道 大 都 可 
以 用 两 状态 图 表示 ,这 是 因为 多 数 隐蔽 通道 的 当前 1 
状态 都 依赖 于 最 近 发 送 的 记号 ,只 要 两 个 状态 就 能 图 7-15 用 两 状态 图 表示 隐蔽 通道 
抓 住 信息 传递 场景 的 本 质 。 

首先 来 看 一 个 利用 文件 锁 的 隐蔽 通道 例子 。 假 设 一 个 系统 ,有 lock 和 unlock 等 基本 
原 语 操作 ,其 中 lock 禁止 其 他 进程 访问 被 锁定 的 文件 , 当 一 个 进程 写 文件 时 会 首先 锁定 
该 文件 ,以 防止 由 于 其 他 进程 在 更 新 结束 以 前 读 该 文件 的 信息 所 导致 的 不 一 致 。 当 一 个 
进程 锁定 该 文件 时 ,其 他 进程 如 果 要 访问 或 者 锁定 该 文件 就 只 能 得 到 一 个 出 错 信息 。 
Unlock 是 开锁 原 语 。 利 用 这 两 个 原 语 可 以 构造 一 个 锁 隐 项 通道 。 假 设 双方 约定 利用 某 
文件 是 否 锁定 发 送 二 进 制 编码 的 信息 。 发 送 方 lock 该 文件 表示 发 送 1, 不 锁 表 示 发 送 0; 
接 接收 方 试图 访问 该 文件 ,成 功 则 表明 该 文件 处 于 未 被 锁定 状态 ,就 得 到 一 个 0, 反 之 得 
到 一 个 二 isn 一 个 是 文件 被 锁定 ,一 个 是 未 被 锁定 。 发 送 方 要 发 一 
个 0 或 者 一 个 1。 接 接收 方 进程 试图 访问 该 文件 ,然后 根据 出 错 信 息 判断 该 比特 是 0 还 
是 1。 gg i ey 

(1) 在 未 锁 状 态 发 送 0: 

。 发 送 方 把 控制 权 交 给 接收 者 ; 

。 接收 者 试图 访问 该 文件 ,成 功 ; 

。 接收 者 记录 0; 

。 接收 者 释放 访问 权 ; 

。 接收 者 把 控制 权 交 给 发 送 者 。 

(2) 在 锁定 状态 发 送 0: 

。 发 送 者 unlock 该 文件 ; 

。 发 送 方 把 控制 权 交 给 接收 者 ; 

。 接收 者 试图 访问 该 文件 ,成 功 ; 

。 接收 者 记录 0; 

。 接收 者 释放 访问 权 ; 

。 接收 者 把 控制 权 交 给 发 送 者 。 

(3) 在 未 锁 状 态 发 送 1: 

。 发 送 者 锁定 该 文件 ; 
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。 发 送 方 把 控制 权 交 给 接收 者 ; 
。 接收 者 试图 访问 该 文件 ,失败 ; 
。 接收 者 记录 1; 
。 接收 者 把 控制 权 交 给 发 送 者 。 
(4) 在 锁定 状态 发 送 1: 
。 发 送 方 把 控制 权 交 给 接收 者 ; 
。 接收 者 试图 访问 该 文件 ,失败 ; 
。 接收 者 记录 1; 
。 接收 者 把 控制 权 交 给 发 送 者 。 
通过 列 出 对 应 的 TCB 原 语调 用 读 序列 并 合计 其 时 间 , 可 以 确定 发 送 一 个 0 或 者 1 所 
需 的 时 间 。 注 意 TCB 原 语调 用 及 其 总 持续 时 间 依 赖 于 通道 的 状态 ,并 且 读 访问 (不 只 是 
ee 个 TCB 原 语调 用 表示 的 )。 例 如 ,如 果 在 
态 读 访问 一 个 0 用 open 原 语调 用 成 功 返 回 表示 ,而 在 其 他 状态 用 open 原 语 失 败 返 
Den 则 在 两 个 状态 下 语 一 个 0 所 用 时 间 是 不 同 的 ,后 者 用 时 总 是 比较 短 。 使 用 两 状态 
图 传递 0 和 1 必需 的 TCB 原 语 调用 序列 可 以 是 不 同 的 ,因此 可 能 出 现 四 种 不 同 的 时 间 单 
元 ,这 里 分 别称 为 cc 和 d 时间 单元 。 
要 确定 两 状态 图 表示 的 隐蔽 通道 的 带宽 N (7) ,就 要 找 出 时 间 z 内 所 有 可 能 的 传递 
数 。 通 道 带宽 可 以 表示 成 : 
C = lim (log: N;, (1))/t (7:19 
为 了 找 出 Ni (1?) , 令 No (4) 为 在 t 时间 内 从 两 状态 之 一 开始 的 可 能 的 传递 数 , 令 
Ni (ti) 为 在 上 时 间 内 从 另 一 个 状态 开始 的 可 能 的 传递 数 。 一 般 来 说 , 当 刀 为 状态 集合 的 值 
域 时 ,对 第 九 个 状态 就 有 一 个 NA(Ci 。 传 递 数 满足 一 个 差分 方程 组 。 对 于 文件 锁 通 道 ,可 
以 得 到 下 面 的 差分 方程 组 : 


No(t) = No(t—a)+Ni(t—e) 

Ni(1) = No(t—b) + Ni(i—d) (C7:2) 

一 般 来 说 ,Ni (2) = >) N;(t 一 T), 其 中 Ti 是 从 状态 h 转移 到 状态 i 所 用 的 时 间 。 

注意 ,No (1) 仅 对 于 可 以 表示 为 多 个 ab、c.d 之 和 的 时 间 1 是 非 零 值 。 根 据 Shannon 

的 信息 论 ,要 确定 这 个 通道 的 带宽 ,只 需要 找 出 t 趋 近 于 极限 时 No(7) 的 渐进 上 限 。 该 上 
限 可 以 取 如 下 的 形式 : 


Ni(t) = A,X’ (Ty 
代入 方程 ,得 
=: SUNT (74Y 
于 是 当 上 趋 近 于 无 限时 ， 
C= lim (logs (AiX'))/t 一 logsX (7.5) 
注意 ,对 于 上 面 的 方程 ,X 可 以 有 多 个 解 。 一 般 取 最 大 的 解 作为 带宽 
例如 ,对 公式 (7.2) 表 示 的 文件 锁 通 道 , 从 式 (7. 4) 得 
XH 一 X 一 XY 十 1 一 Xe 一 0 (7.6) 
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解 这 个 方程 ,就 能 得 到 变量 X, 然 后 根据 计算 式 (7. 2) ,就 可 以 求 得 该 通道 的 带宽 。 


2 基于 马尔 科 夫 过 程 的 非 形式 化 方法 

Tsai 和 Gligor 在 研究 安全 Xenix 的 隐蔽 通道 时 提出 了 一 个 计算 最 大 可 达 带 宽 的 一 
个 简单 公式 。 该 公式 为 : 

B(0) = 6b(T, + T+2T.) 7:7) 

该 公式 中 ,6b 是 编码 因子 ,在 多 数 情况 下 都 是 1。T, 和 TT, 是 传送 过 程 结 束 后 设置 和 
读 取 一 个 1 和 0 所 需 的 时 间 ,T。, 是 设置 读 一 个 0 或 者 一 个 1 的 读 环境 所 需 时 间 。 用 非 形 
式 化 进行 通道 带宽 估计 必须 测量 通道 最 快 的 原 语 , 并 给 T.. 选 择 最 小 的 实测 值 。 

这 种 非 形式 化 方法 基于 如 下 假定 : 

。 环境 设置 和 读 都 是 由 接 接收 方 进程 完成 的 。 

。 假定 设置 0 和 1 用 时 相等 ,并 且 传送 的 0 和 1 分 布 相同 。 

对 这 种 非 形式 化 的 方法 ,这 里 不 做 进一步 介绍 。 


3. 两 种 方法 的 比较 

Tsai 等 人 在 安全 Xenix 中 进行 了 两 种 方法 的 对 比 实验 。 实 验 结果 表明 ,上 述 两 种 方 
法 得 到 的 隐蔽 通道 带宽 数值 大 体 相 等 。 如 果 设 置 传递 环境 和 传递 一 个 0 的 时 间 不 同 于 设 
置 传递 环境 并 传递 一 个 1 所 用 的 时 间 ,那么 用 Millen 的 方法 得 到 的 带宽 会 高 于 用 Tsai 的 
方法 得 到 的 数值 。 特 别 是 在 一 个 通道 的 某 些 (但 不 是 全 部 )TCB 原 语 中 (例如 在 一 个 使 用 
该 通道 所 需 的 原 语 的 出 错 返回 路 径 上 ) 设 置 一 些 延迟 时 ,这 一 点 就 尤其 明显 。 采 用 两 种 方 
法 计算 加 入 延迟 的 通道 的 带宽 可 能 得 到 差异 不 小 的 结果 。 即 便 在 传递 0 和 传递 1 所 用 时 
间 相 差 无 几 的 安全 Xenix 中 ,两 种 方法 得 到 的 带宽 最 大 差 20%。 

Millen 方法 优 于 Tsai 等 人 的 方法 ,不仅 是 因为 能 算出 最 大 可 达 带 宽 , 还 因为 这 种 方 
法 要 求 定 义 一 个 真实 的 使 用 场景 。 建 立 使 用 场景 的 过 程 有 助 于 消除 误解 ,原因 是 不 同方 
可 能 使 用 不 同 假设 定义 隐蔽 通道 的 环境 设置 时 间 。 

由 于 橘 皮 书 对 于 Al 级 别 评估 特别 要 求 使 用 形式 化 ,因此 测量 带宽 时 只 能 使 用 
Millen 法 这 类 基于 信息 论 的 隐蔽 通道 带宽 计算 方法 。 对 于 B2-B3 级 别 , 则 可 以 任 选 使 用 
形式 化 方法 和 非 形式 化 方法 。 


i 处 理 技术 


对 隐蔽 通道 的 常见 处 理 技术 包括 消除 法 .带宽 限制 法 和 威慑 法 等 。 橘 皮 书 对 隐蔽 通 
道 处 理 的 要 求 包含 在 审计 和 文档 要 求 中 。“TCB 应 当 能 审计 可 以 用 作 隐 项 存储 通道 的 已 
标识 事件 ”。 设 计 文档 要 求 “ 还 要 给 出 隐蔽 通道 分 析 的 结果 以 及 约束 通道 所 采用 的 折 中 办 
法 ,要 标识 所 有 使 用 已 知 隐蔽 存储 通道 的 可 审计 事件 。 要 提供 审计 机 制 不 能 侦察 的 已 知 
通道 的 带宽 ”。 

橘 皮 书 建议 结合 使 用 消除 法 .带宽 限制 法 和 威慑 法 这 三 种 方法 ,基本 原则 是 : 

(1) 通道 带宽 低 于 某 个 预先 设 定 的 值 5 的 隐蔽 通道 都 是 可 以 接受 的 。 
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(2) 带宽 高 于 /的 隐藏 存储 通道 都 应 当 可 以 审计 。 所 有 不 能 审计 的 存储 通道 的 带宽 
要 记 入 文档 。 这 使 得 管理 员 可 以 察觉 并 从 程序 上 采取 纠正 措施 对 付 重大 的 威胁 。 

(3) 带宽 高 于 预先 设 定 的 上 限 B(B>0) 的 隐蔽 通道 代表 重大 威胁 ,应 当 尽 可 能 把 消 
除 或 者 把 其 带宽 降低 到 B 比特 / 秒 以 下 。 

根据 橘 皮 书 发 布 时 的 具体 情况 ,还 具体 提出 了 下 面 的 处 理 策 略 : 

(1) 对 于 通道 带宽 大 于 0. 1 比特 / 秒 的 通道 ,只 要 有 可 能 ,就 要 采用 消除 法 ; 

(2) 只 要 有 可 能 ,就 采用 带宽 限制 法 每 个 无 法 消除 的 通道 ,使 之 最 大 带宽 降低 到 
1 比特 / 秒 以 下 ; 

(3) 使 用 威慑 法 ( 即 审计 法 ) 处 理 所 有 带宽 大 于 0. 1 比特 / 秒 的 通道 ; 

(4) 对 于 带宽 低 于 0. 1 比特 / 秒 的 通道 ,可 以 不 作 处 理 。 

按照 这 一 策略 ,允许 存在 不 可 审计 的 存储 通道 (策略 (4)) ,并且 允许 存在 带宽 高 于 
B=1 比特 / 秒 的 存储 通道 和 定时 通道 (策略 (2))。 建 议 的 国 值 5==0.1 比特 / 秒 和 B=1 比 
特 / 秒 可 以 根据 特定 策略 进行 调整 。 确 定 上 述 阔 值 的 依据 是 : 隐蔽 通道 处 理会 影响 系统 
性 能 ,而 对 于 多 数 系统 环境 而 言 , 1b/s 的 带宽 都 是 可 以 接受 的 。 不 过 橘 皮 书 认为 带宽 高 
于 100b/s 的 隐蔽 通道 不 能 接受 ,原因 是 在 20 世纪 80 年 代 初 ,老式 计算 机 的 终端 的 运行 
速度 都 是 在 这 个 数量 级 。 对 现在 的 系统 设计 者 来 说 ,B 和 2 值 的 设 定 要 根据 具体 的 安全 
需求 和 应 用 环境 等 情况 而 定 。 

下 面 分 别 介绍 这 三 种 隐蔽 通道 处 理 方法 。 


741 消除 法 


第 一 种 方法 是 消除 隐蔽 通道 。 消 除 隐 蔽 通道 需要 改变 系统 的 设计 或 实现 ,这 些 改 变 
包括 : 

。 消除 潜在 隐蔽 通信 参与 者 的 共享 资源 。 方 法 是 预先 向 参与 者 分 配 一 个 最 大 资源 

需求 ,或 者 按照 安全 级 分 割 资源 ; 

。 清除 导致 隐蔽 通道 的 接口 和 机 制 。 

先 看 第 一 种 情况 。 在 动态 分 配 / 回 收 客体 引发 动态 分 配 内 存 段 的 隐蔽 存储 通道 的 例 
子 中 ,如 果 内 存 按照 每 个 进程 或 者 每 个 安全 级 分 配 ,就 不 再 有 这 一 通道 。 不 过 有 时 这 类 方 
法 会 导致 系统 性 能 显著 降低 ,从 而 不 可 取 。 例 如 在 瓜分 内 存 的 情况 下 ,必然 有 的 部 分 使 用 
率 高 些 ( 使 用 频繁 ) ,有 的 地 方 使 用 率 低 些 , 总 地 看 来 系统 性 能 必然 会 降低 。 适 于 使 用 这 类 
方法 的 一 个 例子 是 UNIX system V 进程 间 通 信 客 体 的 名 字 空 间 , 按 安全 级 分 配 名 字 空 间 
不 会 导致 系统 性 能 显著 降低 。 

有 时 按照 用 户 、 进 程 瓜分 资源 并 不 可 行 ,例如 主线 (bus) 就 不 能 瓜分 。 但 是 按照 安全 
级 瓜分 时 间 这 种 资源 却 是 可 行 的 。 就 是 说 同一 时 间 运 行 的 进程 安全 级 必须 相同 。 这 是 定 
时 通道 的 问题 ,这 里 不 做 过 多 的 讨论 。 

再 看 第 二 种 情况 。UNIX 接口 惯例 要 求 不 能 删除 非 空 目录 。 改 变 接口 惯例 实际 上 是 
不 可 能 的 ,因为 应 用 程序 都 是 按照 接口 惯例 编写 的 。 不 过 有 时 可 以 采用 这 种 方法 ,例如 程 
序 用 调整 对 某 种 系统 资源 使 用 的 程度 来 编码 机 密 信息 ,而 机 密 信息 最 终 反映 在 返回 给 用 
户 的 不 同 的 账目 信息 里 。 删 除 这 个 账目 通道 的 方法 是 消除 用 户 级 的 账单 , 即 给 资源 使 用 的 
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程度 (如 固定 的 最 大 CPU 时 间 、 固 定 的 最 大 1/O 时 间 等 ) 一 个 统一 的 限制 。 另 外 通过 按 每 个 
用 户 级 别 生 成 账目 信息 也 能 消除 这 个 通道 。 不 过 两 种 方法 在 实践 中 都 是 很 费事 的 。 


742 带宽 限制 法 


处 理 隐蔽 通道 的 第 二 种 方法 是 带宽 限制 法 。 带 宽 限 制 的 策略 是 设法 降低 通道 的 最 大 
或 者 平均 带宽 ,使 之 降低 到 一 个 事先 预定 的 可 接受 的 程度 。 限 制 带宽 的 方法 有 : 

。 故意 引入 噪声 , 即 用 随机 分 配 算法 分 配 诸如 共享 表 、 磁 盘 区 、PID 等 共享 资源 的 索 

引 ,或 者 引入 额外 的 进程 随机 修改 隐蔽 通道 的 变量 。 

。 故意 引入 延 时 。 

PID 通道 是 事件 计数 型 通道 ,在 多 数 系统 中 带宽 为 10 到 500b/s。 出 现 这 个 通道 是 
因为 系统 在 建立 新 进程 时 一 般 采 用 递增 PID 的 办 法 ,这样 接收 进程 可 以 通过 PID 是 否 是 
连续 的 数目 来 判断 发 送 方 是 否 发 送 了 0 或 1。 对 策 就 是 让 系统 改变 PID 分 配 算法 , 即 系 
统 用 随机 的 、 不 单调 的 次 序 分 配 未 使 用 的 PID。 在 其 他 客体 标识 分 配 算法 中 也 有 这 个 问 
题 , 也 采用 同样 方法 加 以 处 理 。 这 种 方法 对 系统 性 能 影响 不 大 。 

Hu 在 1991 年 引入 了 一 种 名 为 “模糊 时 间 (fuzzy time)” 的 概念 。 内 核 让 用 户 进程 只 
能 使 用 虚 时 间 , 即 只 与 用 户 进程 的 动作 有 关 ,而 与 系统 真实 时 间 无 关 的 时 间 概 念 。 这 种 虚 
时 间 与 真实 时 间 之 间 的 关系 是 随机 的 。 这 种 处 理 方法 对 系统 性 能 的 影响 不 大 (Hu 在 
VAX 系统 上 的 实验 结果 是 降低 5% ~6%)。 

另 一 种 方法 是 引入 额外 的 进程 , 即 让 一 个 用 户 级 进程 随机 改变 通道 变量 (当然 这 些 进 
程 也 可 以 引入 延 时 )。Tsai 和 Gligor 在 1988 年 的 研究 指出 这 种 方法 可 以 使 通道 带宽 降 
低 75%。 不 过 这 种 方法 显然 会 显著 影响 系统 性 能 。 

向 系统 引入 延 时 的 方法 只 用 于 限制 资源 耗 尽 型 通道 。 延 时 只 在 隐蔽 通道 启动 后 才 
发 挥 作 用 ,如 果 通 道 不 启动 , 延 时 就 不 会 降低 系统 性 能 。 资 源 耗 尽 型 隐蔽 通道 利用 资 
源 耗 尽 异常 ( 即 error 返回 ) 返 回来 传递 比特 。 把 延 时 放 在 资源 耗 尽 异常 的 返回 路 径 上 ， 
就 能 使 通道 带宽 的 降低 程度 正比 于 通道 用 户 使 用 的 编码 中 0 或 1 的 使 用 频率 。 正 常情 
况 下 系统 性 能 降低 应 该 是 不 明显 的 ,因为 资源 耗 尽 异常 一 般 出 现 频率 比较 低 ( 除 非 使 
用 通道 ) 。 

一 般 建议 采用 这 种 方法 ,原因 是 : 首先 ,这 种 方法 让 系统 管理 有 机 会 确定 在 每 个 通道 
上 设置 延 时 导致 的 系统 性 能 下 降 程度 ;其 次 ,如 果 操 作 系统 的 硬件 平台 发 生 了 变化 ,对 延 
时 加 以 调节 (增加 或 减少 ) 就 行 了 。 

但 是 安置 延 时 并 不 容易 ,主要 困难 在 于 选择 放置 位 置 。 如 果 放 在 靠近 TCB 接口 的 地 
方 ( 即 高 层 函 数 ) ,对 系统 性 能 的 影响 无 疑 是 可 以 尽量 减 小 ,而 且 可 以 一 个 一 个 地 处 理 
TCB 原 语 。 这 种 情况 下 需要 较 多 的 编码 工作 ,原因 是 每 个 涉及 通道 的 原 语 都 需要 单独 处 
理 。 同 时 这 种 做 法 可 能 达 不 到 最 小 延 时 值 , 原 因 是 从 高 层 TCB 函数 的 角度 不 易 搞 清 低 层 
函数 使 用 了 什么 变量 和 哪些 其 他 函数 。 

工程 实践 中 通常 把 延 时 加 在 低层 函数 。 这 是 因为 在 实践 中 每 个 TCB 中 的 资源 都 由 
若干 个 专门 函数 管理 ,于 是 所 有 使 用 这 个 资源 的 用 户 进程 都 共享 这 些 低层 资源 管理 函数 。 
把 延 时 加 在 低层 函数 实际 上 延迟 了 所 有 使 用 这 个 资源 的 原 语 。 
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743 威慑 法 


第 三 种 方法 是 威慑 法 (deterrence) 。 这 种 方法 假定 用 户 都 知道 存在 哪些 通道 ,但 是 系 
统 采用 某 种 机 制 让 恶意 用 户 不 敢 使 用 这 些 通道 。 最 重要 的 威慑 手段 是 通道 审计 ,即使 用 
有 效 的 审计 手段 毫 不 含糊 地 监视 通道 的 使 用 情况 ,让 隐蔽 通道 使 用 者 知 难 而 退 。 橘 皮 书 
只 要 求 系统 提供 审计 隐蔽 通道 的 能 力 ,而 未 要 求实 际 审计 隐蔽 通道 ,所 以 某 种 程度 上 影响 
了 审计 作为 一 种 威慑 手段 的 效果 。 

隐藏 通道 审计 要 求 审计 数据 记录 了 足够 的 数据 ,确保 能 够 ; 

。 标识 每 次 隐蔽 通道 的 使 用 事件 ; 

。 识别 通道 的 发 送 者 和 接收 者 , 即 通道 的 用 户 。 

审计 要 注意 的 问题 是 不 能 被 绕 过 ,不 能 误 报 。 如 果 隐 项 通信 绕 过 了 审计 机 制 , 系 统 就 
不 能 侦察 此 次 信息 泄露 事件 。 误 报 也 是 审计 的 大 鼠 , 因 为 它 会 混 消 用 户 的 合法 通信 动作 
与 隐蔽 通信 动作 。 

一 旦 通过 审计 记录 确定 了 一 个 隐蔽 通道 使 用 事件 ,就 能 够 进行 实际 通道 的 带宽 估算 。 
一 般 来 说 ,很 难 从 审计 记录 中 找 出 通过 隐蔽 通道 泄露 的 信息 ,原因 是 用 户 多 半 会 在 通信 前 
进行 加 密 处 理 。 同 样 ,区 分 真正 的 信息 与 检查 审计 记录 导致 的 噪声 也 不 容易 。 只 有 0 或 
者 1 的 常数 流 可 以 明白 无 误 地 确认 为 噪声 。 

在 审计 中 有 关 隐 项 通道 的 标识 问题 多 为 基础 性 的 ,并 且 在 多 数 操作 系统 中 都 会 出 现 。 
这 些 问题 包括 : 

。 不 能 区 分 隐蔽 通道 的 使 用 事件 与 TCB 原 语 的 合法 使 用 事件 。 

。 很 难 从 隐蔽 通道 用 户 中 区 分 发 送 者 和 接收 者 。 

出 现 这 些 问题 的 原因 是 单个 TCB 原 语 既 可 以 读 访问 一 个 变量 或 属性 ,也 可 以 写 访 问 
一 个 变量 或 属性 ,到底 进行 的 是 哪 种 操作 ,要 根据 该 原 语 的 参数 值 和 系统 的 状态 而 定 。 还 
有 一 个 原因 是 不 同 的 隐蔽 通道 可 以 共享 TCB 原 语 。 这 类 原 语 使 合法 用 户 和 使 用 隐蔽 通 
道 的 用 户 相 混淆 ,从 而 绕 过 审计 或 者 导致 误 报 。 

设计 隐蔽 通道 审计 机 制 的 关键 问题 是 : 为 了 保证 发 现 所 有 使 用 隐蔽 通道 的 事件 ,要 
明确 审计 机 制 应 该 记录 什么 事件 ,和 审计 工具 应 该 维护 什么 数据 。 由 于 标识 隐蔽 通道 可 
以 归结 为 确定 二 PA; ,Var,PV;> 三 元 组 ,故而 记录 所 有 包含 一 PA ,Var 这 和 二 PV; ,Var 之 数 
据 的 事件 就 是 隐蔽 通道 审计 的 充 要 条 件 。 然 而 在 记录 这 些 事件 时 必须 要 考虑 到 当前 使 用 
的 审计 记录 格式 和 机 制 。 

在 资源 耗 尽 型 隐蔽 通道 中 ,有 时 可 以 从 记录 的 原 语 标 识 符 和 事件 结果 中 标识 出 
<PVi ,Var> 对 。 例 如 只 要 事件 结果 是 一 个 必定 与 某 个 隐蔽 通道 变量 相关 的 出 错 消息 ， 
则 审计 可 以 推断 记录 的 原 语 标识 符 代 表 PV;。 不 过 只 要 事件 结果 不 是 出 错 消息 ,并 且 
PV; 二 PA,; , 则 审计 就 不 能 确定 记录 的 原 语 标 识 符 是 PV; 还 是 PA, 原 语 ;并 且 只 要 PV 不 
是 PA ,就 不 能 确定 记录 的 原 语 标识 符 是 代表 一 个 原 语 的 PA 还 是 代表 一 个 无 害 的 TCB 
原 语 。 对 一 个 TCB 原 语 的 使 用 到 底 是 无 害 的 ,还 是 跟 隐 项 通道 有 关 , 要 根据 系统 的 状态 
和 原 语 的 参数 值 才能 确定 。 因 此 记录 通道 变量 对 于 隐蔽 通道 相关 原 语 的 所 有 非 出 错 结果 
都 是 必要 的 。 
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记录 隐蔽 通道 变量 的 根本 难题 在 于 : 很 多 TCB 原 语 都 是 被 若干 个 隐蔽 通道 共享 , 因 
2 个 P 有 & 或 者 一 二 1 全 司 可 区 办 天 见 趟 通关 出 帮 痢 ， 于 是 即便 已 知 所 有 潜在 隐蔽 通 
道 变量 ,已 知 一 个 PV 的 出 错 结果 可 以 确定 无 疑 地 跟 某 个 通道 变量 相 联系 ,也 不 能 断定 实 
际 上 使 用 了 哪个 具体 变量 。 例 如 一 个 用 户 可 以 从 一 个 共享 PV 原 语 对 一 个 变量 的 出 错 结 
果 推 断 出 该 原 语 对 另 一 个 变量 的 非 出 错 结果 ,这 使 用 户 可 以 把 使 用 一 条 通道 的 过 程 伪 装 
成 在 多 个 通道 上 的 噪音 (例如 0 或 1 的 常数 串 )。 这 样 审 计 必须 维护 额外 的 信息 来 侦察 潜 
在 通道 使 用 。 
此 外 并 非 所 有 的 隐蔽 通道 使 用 事件 都 可 以 审计 ,例如 前 面 提 到 的 定时 通道 就 是 无 法 
审计 的 。 


744 进一步 讨论 


橘 皮 书 提供 的 阔 值 "(0. 1b/s) 和 B(1b/s) 并 不 令 人 满意 ,原因 是 隐蔽 通道 造成 的 威胁 
ee 应 用 环境 里 的 威胁 情况 才能 评价 阔 值 和 忆 是 否 
恰当 ,所 以 在 设计 和 评估 中 不 宜 指定 阔 值 。 最 理想 的 情况 是 系统 向 系统 的 安全 管理 员 提 
Re 

隐蔽 通道 造成 的 威胁 还 跟 隐 项 通道 本 身 的 特点 有 关 。 例 如 ， 

。 有 些 隐 项 通道 的 最 大 可 达 带 宽 可 以 很 高 ,但 是 系统 正常 负载 情况 的 噪音 和 延迟 使 

该 通道 的 实际 带宽 低 于 可 以 接受 的 上 限 B。 

。 使 用 场景 比较 简单 的 隐蔽 通道 更 容易 被 使 用 。 

。 出 现在 系统 低层 的 隐蔽 通道 无 法 审计 。 

。 有 的 通道 可 以 集成 起 来 使 用 已 获得 较 高 的 带宽 ,也 有 的 通道 不 能 集成 。 

通过 分 析 这 些 原因 可 以 得 到 结论 : 5 和 B 的 阔 值 只 能 在 考虑 了 上 述 因素 的 威胁 分 析 
之 后 才能 确定 。 下 面 的 例子 用 以 说 明 对 安全 系统 使 用 环境 进行 威胁 分 析 的 必要 性 。 

考虑 下 面 的 应 用 环境 : 处 理 分 类 的 卫星 图 像 (例如 某 些 国家 的 不 同 农 作物 的 卫星 图 
像 )。 每 幅 图 像 帧 包含 512 X 512 个 像素 ,每 个 像素 有 8bit, 每 个 应 用 程序 最 多 包括 
10 000 个 帧 。 这 里 使 用 了 一 个 多 级 安全 系统 , 它 有 一 条 带宽 为 10 000b/s 的 隐蔽 通道 。 
这 意味 着 使 用 该 通道 在 大 约 200s 内 就 可 以 传送 一 幅 图 像 帧 。1h 内 这 样 失 密 的 图 像 帧 最 
多 可 达 18 幅 。 需 要 操作 通道 一 个 小 时 以 上 才能 泄露 0.2% 的 数据 ,因此 这 个 通道 可 以 忽 
略 不 计 。 由 于 这 个 操作 的 使 用 周期 很 长 ,用 离线 审计 方法 察觉 该 通道 的 可 能 性 非常 高 。 
ee 10 000b/s 甚至 更 高 。 当 然 关 于 卫星 图 像 的 资源 的 信息 可 能 等 级 更 

高 ,这 个 信息 面 对 可 能 隐蔽 通道 相当 脆弱 ,因此 需要 使 用 可 信和 软件 而 不 是 不 可 信 应 用 程序 
pe 

与 此 相反 ,考虑 一 个 生成 64 比特 密 钥 的 应 用 环境 ,这 个 密 钥 的 生命 周期 大 致 为 一 

登录 会 话 ( 即 8 小 时 左右 ) 。 即 便 这 些 密 钥 加 密 存 储 在 存储 器 中 ,应 用 软件 使 用 它们 时 也 
是 用 明文 形式 。 如 果 安 全 系统 包含 一 个 0. 1b/s 的 隐蔽 通道 ,那么 只 需 11 分 钟 就 可 以 让 
一 个 会 话 密 钥 失 密 , 这 使 得 密 钥 在 其 大 部 分 生命 周期 中 十 分 脆弱 。 用 离线 审计 查 出 使 用 
这 个 通道 情况 的 可 能 性 通常 不 会 很 大 ,原因 是 通道 使 用 周期 相对 太 短 了 。 在 线 审计 可 能 
性 更 小 。 因 此 在 这 个 环境 下 ,B 就 不 能 设 成 0.1b/s, 而 是 应 当 设 为 更 低 的 值 ,例如 
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0. 002b/s( 这 样 获得 这 个 密 钥 需要 至 少 8 个 小 时 ) 。 

威胁 分 析 还 要 考虑 到 可 信 系 统 处 理 的 信息 的 分 级 范围 ,进而 还 要 考虑 可 信 系 统 分 级 
( 即 B2-Al)。 一 个 只 处 理 绝密 和 秘密 信息 的 B2 系统 也 许可 以 容忍 较 高 带宽 的 隐蔽 通道 
(如 1000 一 10 000b/s) ,因为 这 个 系统 不 可 能 将 信息 泄露 给 秘密 以 下 的 级 别 。 与 此 相反 ， 
在 处 理 多 级 信息 的 Al 系统 中 就 可 能 不 容忍 这 样 的 通道 存在 ,原因 是 绝密 信息 的 泄露 可 
以 成 为 真正 的 威胁 。 

在 威胁 分 析 中 ,还 要 考虑 每 个 隐蔽 通道 的 自身 特性 。 例 如 在 1978 年 Huskamps 的 研 
究 中 ,CPU 调度 通道 的 带宽 可 以 是 5 一 300b/s( 取 决 于 操作 系统 和 调度 参数 ) ,然而 与 多 级 
目录 通道 相 比 ,CPU 调度 通道 很 不 容易 使 用 ,原因 是 不 能 控制 调度 参数 ,并 且 其 他 进程 引 
入 的 噪音 无 法 避免 。 因 此 相对 于 没有 噪音 的 多 级 目录 通道 ,这 些 通道 (还 有 前 面 提 到 的 硬 
件 共 享 通道 ) 使 用 的 可 能 性 实际 上 都 不 大 。 从 另 一 方面 来 看 ,使 用 其 他 的 噪音 通道 (如 各 
种 标识 符 通 道 ) 的 可 能 性 比 使 用 多 级 目录 通道 更 大 ,原因 是 正确 审计 一 个 无 噪音 通道 比 正 
确 审计 一 个 噪音 通道 的 可 能 性 更 大 。 因 此 易 审 计 性 影响 了 对 多 级 目录 通道 的 使 用 。 

这 个 例子 表明 ,要 在 每 个 分 析 环 境 和 系统 的 基础 上 建立 威胁 分 析 策 略 ,并 且 威 胁 分 析 
不 能 在 脱离 应 用 环境 的 系统 评估 时 进行 。 


75 本 章 小 结 


本 章 介绍 了 隐蔽 通道 的 概念 和 分 析 技 术 。 

自从 1973 年 B. Lampson 第 一 次 提出 隐蔽 通道 的 概念 ,特别 是 美国 国防 部 发 布 的 “ 橘 
皮 书 ?将 隐蔽 通道 分 析 作 为 评估 B2 级 以 上 安全 信息 系统 的 标准 以 来 ,隐蔽 通道 的 标识 和 
处 理 技术 得 到 长 足 发 展 。 广 为 人 知 的 隐蔽 存储 通道 标识 方法 有 D. Denning 提出 的 句法 
信息 流 分 析 法 ,Goguen 和 Mesenger 提出 的 无 干扰 分 析 法 ,R. Kemmerer 提出 的 共享 资 
源 和 矩阵 分 析 法 和 Tsai 等 人 提出 的 语义 信息 流 分 析 法 。 而 对 于 隐蔽 定时 通道 ,目前 还 没有 
系统 的 标识 方法 。 

带宽 是 隐蔽 通道 传送 数据 的 速度 。 目 前 计算 带宽 的 方法 主要 是 J. Millen 提出 的 形 
式 化 方法 和 Tsai 等 人 提出 的 非 形 式 化 方法 。 从 计算 结果 的 准确 程度 来 看 ,形式 化 方法 更 

常见 的 隐蔽 通道 处 理 技术 包括 消除 法 ,带宽 限制 法 和 威慑 法 。 

隐蔽 通道 分 析 是 一 个 处 于 发 展 中 的 技术 。 


7.6 习题 


1. 何谓 隐蔽 通道 ? 其 特征 是 什么 ? 

2. 隐蔽 通道 主要 分 为 哪 几 类 ? 

3. 简 述 隐蔽 通道 分 析 与 自主 访问 控制 策略 (DAC) 和 强制 访问 控制 策略 (MAC 的 
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当前 主流 的 隐蔽 通道 分 析 技 术 有 哪些 ? 比较 分 析 各 种 隐蔽 通道 分 析 技 术 的 优 劣 。 


. 给 出 实现 SRM 分 析 法 的 传递 闭 包 的 操作 算法 。 
请 比较 Denning 信息 流 法 与 Tsai 信息 流 法 的 异同 。 
. 在 一 个 文件 锁 通 道中 ,如 果 测 得 a 二 1.000,6 二 1. 414,c 二 1. 586,d 二 2.000, 请 计算 
这 个 通道 的 最 大 可 达 带 宽 。 

8. 请 比较 隐蔽 通道 带宽 计算 的 形式 化 方法 和 非 形 式 化 方法 在 假设 前 提 和 计算 结果 
上 有 何不 同 。 

9. 简 述 隐 菩 通道 的 处 理 技术 ,并 具体 分 析 系 统 审计 在 隐蔽 通道 处 理 中 的 作用 和 优 
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第 8 瘟 
”安全 操作 系统 设计 


8.1 ”设计 原则 与 一 般 结构 


萨 尔 哲 (Saltzer) 和 史 克 罗 德 (Schroder) 提 出 了 安全 保护 系统 的 设计 原则 : 

(1) 最 小 特权 。 为 使 无 意 或 恶意 的 攻击 所 造成 的 损失 达到 最 低 限 度 , 每 个 用 户 和 程 
序 必 须 按照 “需要 ”原则 , 尽 可 能 地 使 用 最 小 特权 。 

(2) 机 制 的 经 济 性 。 保 护 系 统 的 设计 应 小 型 化 .简单 .明确 。 保 护 系 统 应 该 是 经 过 完 
备 测 试 或 严格 验证 的 。 

(3) 开放 系统 设计 。 保 护 机 制 应 该 是 公开 的 ,因为 安全 性 不 依赖 于 保密 。 如 果 以 为 
用 户 不 具有 软件 手册 和 源 程序 清单 就 不 能 进入 系统 ,是 一 种 很 危险 的 观点 。 当 然 如 果 没 
有 上 述 信息 ,渗透 一 个 系统 会 增加 一 定 难 度 。 为 了 安全 起 见 ,最 保险 的 假定 是 认为 人 侵 者 
已 经 了 解 了 系统 的 一 切 。 其 实 设计 保密 也 不 是 许多 安全 系统 (即使 是 高 度 安全 系统 ) 的 需 
求 , 理 想 的 情况 应 是 将 必要 的 机 制 加 入 系统 后 ,使 得 即便 是 系统 开发 者 也 不 能 侵入 这 个 
系统 。 

(4) 完整 的 存 取 控制 机 制 。 对 每 个 存 取 访问 系统 必须 进行 检查 。 

(5) 基于 “允许 ”的 设计 原则 。 应 当 标 识 什么 资源 是 应 该 是 可 存 取 的 ,而 非 标 识 什么 
资源 是 不 可 存 取 的 ,也 就 意味 着 许可 是 基于 否定 背景 的 , 即 没 有 被 显 式 许可 标识 的 都 是 不 
允许 存 取 的 。 

(6) 权限 分 离 。 理 想 情况 下 对 实体 的 存 取 应 该 受到 多 个 安全 条 件 的 约束 ,如 用 户 
身份 鉴别 和 密 钥 等 。 这 样 使 得 侵入 保护 系统 的 人 将 不 会 轻易 拥有 对 全 部 资源 的 存 取 
权限 。 

(7) 避免 信息 流 的 潜在 通道 。 信 息 流 的 潜在 通道 一 般 是 由 可 共享 实体 的 存在 所 引起 
的 ,系统 为 防止 这 种 潜在 通道 应 采取 物理 或 逻辑 分 离 的 方法 。 

(8) 方便 使 用 。 友 好 的 用 户 接口 。 

操作 系统 安全 的 可 信人 性 主要 依赖 于 安全 功能 在 系统 中 实现 的 完整 性 ,文档 系统 的 
清晰 性 .系统 测试 的 完备 性 和 形式 化 验证 所 达到 的 程度 。 操 作 系统 可 以 看 成 是 由 内 核 
程序 和 应 用 程序 组 成 的 一 个 大 型 软件 ,其 中 内 核 直接 和 硬件 打交道 ,应 用 程序 为 用 户 
提供 使 用 命令 和 接口 。 验 证 这 样 一 个 大 型 软件 的 安全 性 是 十 分 困难 的 ,因此 要 求 在 设 
计 中 要 用 尽量 小 的 操作 系统 部 分 控制 整个 操作 系统 的 安全 性 ,并 且 使 得 这 一 小 部 分 软 
件 便于 验证 或 测试 ,从 而 可 用 这 一 小 部 分 软件 的 安全 可 信 性 来 保证 整个 操作 系统 的 安 
全 可 信 性 
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安全 操作 系统 的 一 般 结构 如 图 8-1 所 示 , 其 中 由 安全 核 用 来 控制 整个 操作 系统 的 安 
全 操作 。 可 信 应 用 软件 由 两 个 部 分 组 成 , 即 系统 管 


理 员 和 操作 员 进 行 安全 管理 所 需 的 应 用 程序 ,以 及 用 户 软件 可 信 应 用 软件 
运行 具有 特权 操作 的 、 保 障 系统 正常 工作 所 需 的 应 | 安全 内 核 

用 程序 。 用 户 软 件 由 可 信和 软件 以 外 的 应 用 程序 | i 

组 成 。 


高 安全 级 别 的 操作 系统 首先 对 整个 操作 系统 的 。 图 8-1 安全 操作 系统 的 一 般 结构 
内 核 进行 分 解 用 来 产生 安全 内 核 , 因 此 安全 内 核 是 
从 内 核 中 分 离 出 来 的 .与 系统 安全 控制 相关 的 部 分 软件 。 例 如 KSOS 和 UCLA Secure 
Unix 就 具有 这 种 结构 ,它们 的 安全 核 已 经 足够 小 ,所 以 能 够 对 其 进行 严格 的 安全 性 验证 。 
低 开 发 代价 的 安全 操作 系统 则 不 再 对 操作 系统 内 核 进 行 分 解 ,此 时 安全 核 就 是 内 核 。 
这 种 结构 的 例子 有 LINVS IV Secure Xenix、TMach 和 Secure TUNIS 等 。 
操作 系统 的 可 信和 应 用 软件 和 安全 核 组 成 了 系统 的 可 信和 软件 ,它们 是 可 信 计 算 基 的 一 
部 分 ,系统 必须 保护 可 信和 软件 不 被 修改 和 破坏 。 


3.2 ”开发 方法 


从 总 体 上 看 ,设计 安全 内 核 与 设计 操作 系统 类 似 , 要 用 到 常规 的 操作 系统 的 设计 概 
念 。 但 是 在 设计 安全 内 核 时 ,优先 考虑 的 是 完整 性 、 隔 离 性 、 可 验证 性 等 三 条 基本 原则 ,而 
不 是 那些 通常 对 操作 系统 来 说 更 为 重要 的 因素 ,例如 灵活 性 ,性 能 .开发 费用 方便 性 等 。 

采用 从 头 开始 建立 一 个 完整 的 安全 操作 系统 (包括 所 有 的 硬件 和 软件 ?的 方法 在 安全 
操作 系统 的 开发 中 并 不 常见 , 常 遇 到 的 是 在 一 个 现 有 非 安全 的 操作 系统 (ISOS) 上 增强 其 
安全 性 。 基 于 非 安全 操作 系统 开发 安全 操作 系统 ,一 般 有 以 下 3 种 方法 ,如 图 8-2 所 示 。 


应 用 程序 应 用 程序 应 用 程序 应 用 程序 
TSOS TSOS 仿 真 器 
1SOS 安全 内 核 FE 
安全 内 核 安全 内 核 
硬件 硬件 硬件 硬件 
原 有 系统 虚拟 型 系统 ”改进 /增强 型 系统 仿真 型 系统 


图 8-2 安全 操作 系统 的 开发 方法 


821 虚拟 机 法 


在 现 有 操作 系统 与 硬件 之 间 增 加 一 个 新 的 分 层 作为 安全 内 核 ,操作 系统 几乎 不 变 地 
作为 虚拟 机 来 运行 。 安 全 内 核 的 接口 几乎 与 原 有 硬件 编程 接口 等 价 , 操 作 系 统 本 身 并 未 
意识 到 已 被 安全 内 核 控 制 , 仍 像 在 裸 机 上 一 样 执行 它 自己 的 进程 和 内 存 管 理 功 能 ,因此 它 
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可 以 不 变 地 支持 现 有 的 应 用 程序 , 且 能 很 好 地 兼容 ISOS 的 将 来 版 本 。 

虚拟 机 法 在 KVM 中 运用 得 相当 成 功 , 这 是 由 于 硬件 (IBM370) 和 原 有 操作 系统 
(VM/370) 的 结构 都 支持 虚拟 机 。 采 用 虚拟 机 法 增强 操作 系统 的 安全 性 时 ,硬件 特性 对 
虚拟 机 的 实现 非常 关键 , 它 要 求 原 系统 的 硬件 和 结构 都 要 支持 虚拟 机 。 因 此 用 这 种 方法 
开发 安全 操作 系统 的 局 限 性 很 大 。 


822 改进 /增强 法 


在 现 有 操作 系统 的 基础 上 对 其 内 核 和 应 用 程序 进行 面向 安全 策略 的 分 析 , 然 后 加 入 
安全 机 制 ,经 改造 ,开发 后 的 安全 操作 系统 基本 上 保持 了 原 ISOS 的 用 户 接口 界面 。 

由 于 改进 /增强 法 是 在 现 有 系统 的 基础 上 开发 增强 安全 性 的 , 受 其 体系 结构 和 现 有 应 
用 程序 的 限制 ,所 以 很 难 达 到 很 高 (如 B2 级 以 上 ) 的 安全 级 别 。 但 这 种 方法 不 破坏 原 系 
统 的 体系 结构 ,开发 代价 小 , 且 能 很 好 地 保持 原 ISOS 的 用 户 接口 界面 和 系统 效率 。 


823 仿真 法 


对 现 有 操作 系统 的 内 核 做 面向 安全 策略 的 分 析 和 修改 以 形成 安全 内 核 ,然后 在 安全 
内 核 与 原 ISOS 用 户 接 口 界面 中 间 再 编写 一 层 仿真 程序 。 这 样 做 的 好 处 在 于 在 建立 安全 
内 核 时 ,可 以 不 必 受 现 有 应 用 程序 的 限制 , 且 可 以 完全 自由 地 定义 ISOS 仿真 程序 与 安全 
内 核 之 间 的 接口 。 但 采用 这 种 方法 要 同时 设计 仿真 程序 和 安全 内 核 , 还 要 受 顶 层 ISOS 
接口 的 限制 。 另 外 根据 安全 策略 ,有 些 ISOS 的 接口 功能 不 安全 ,从 而 不 能 仿真 ;有 些 接 
口 功 能 尽管 安全 ,但 仿真 实现 特别 困难 。 

下 面 假定 应 用 改进 /增强 法 对 UNIX 操作 系统 的 某 版 本 进行 安全 性 增强 为 例 来 详细 
说 明 安 全 操作 系统 的 开发 方法 。 

在 该 版 本 UNIX 操作 系统 中 ,系统 运行 状态 分 用 户 态 和 核心 态 两 种 ,认为 运行 于 内 
核 中 程序 的 进程 处 于 核心 态 ,运行 于 内 核 之 外 的 程序 进程 处 于 用 户 态 。 系 统 保证 用 户 态 
下 的 进程 只 能 存 取 它 自己 的 指令 和 数据 ,而 不 能 存 取 内 核 和 其 他 进程 的 指令 和 数据 ,并 且 
保证 特权 指令 只 能 在 核心 态 执行 ,比如 说 所 有 的 1/O 指令 等 在 用 户 态 下 不 能 使 用 。 用 户 
程序 只 能 通过 系统 调用 陷入 核心 才能 存 取 系 统 资 源 (文件 目录、 设备 等 ) ,运行 完 系 统 调 
用 后 又 返回 用 户 态 。 系 统 调用 是 用 户 在 编写 程序 时 可 以 使 用 的 界面 ,是 用 户 程 序 进 入 
UNIX 内 核 的 唯一 入口 。 一 旦 用 户 程序 通过 系统 调用 进入 内 核 , 便 完全 与 用 户 隔离 ,从 而 
使 内 核 中 的 程序 可 对 用 户 的 存 取 请 求 进行 不 受用 户 干 扰 的 访问 控制 。 因 此 UNIX 支持 
存 取 控制 机 制 的 开发 ,从 而 支持 安全 性 的 增强 。 所 以 采用 改进 /增强 法 来 达到 对 该 版 本 
UNIX 操作 系统 的 安全 性 进行 增强 的 目的 ,如 图 8-3 所 示 。 其 中 以 系统 调用 为 基 元 ,通过 
引入 可 信 计 算 基 机 制 ,分 别 在 系统 调用 中 实现 了 安全 强制 存 取 控 制 、 自 主 存 取 控制 .审计 、 
最 小 特权 管理 .可 信 通 路 等 机 制 ,并 进行 了 对 隐 通 道 的 分 析 和 处 理 。 另 外 还 新 增加 了 一 部 
分 用 以 支持 现 安 全 机 制 本 身 的 系统 调用 。 

具体 地 说 ,对 该 UNIX 操作 系统 主要 进行 如 下 安全 性 增强 : 

(1) 对 UNIX 实用 程序 进行 面向 安全 策略 的 分 析 后 将 它们 分 成 两 部 分 : 可 信 程 序 和 
一 般 应 用 程序 。 可 信 程 序 主 要 包括 注册 程序 .用 户 管理 程序 .特权 用 户 程序 等 ,它们 主要 
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shell 层 shell 程 序 
可 信 程 序 
访 层 | 实用 程序 层 | 一 般 应 用 程序 
| 修改 扩充 来 的 新 增加 的 
本 
全 调用 层 | 与 安全 与 安全 有 关 的 新 增加 的 (与 安全 
系统 调用 层 ， 元 关 的 (加 入 大 部 分 安全 检查 ) | 检查 机 制 有 关 ) 
内 楼 层 
与 安全 与 安全 有 关 的 新 增加 的 
核心 程序 层 | 无 关 的 “| (加 入 小 部 分 安全 检查 ) | ”核心 程序 
了 
人 
硬 作 骂 硬件 接口 程序 


图 8-3 某 版 本 UNIX 操作 系统 的 安全 性 增强 设计 方法 


有 两 个 来 源 : 一 部 分 是 对 原 有 程序 进行 安全 性 扩充 来 的 , 另 一 部 分 是 新 编写 开发 的 ,它们 
与 核心 的 安全 机 制 有 关 。 

(2) 面向 安全 策略 逐个 分 析 UNIX 系统 调用 的 安全 性 。 对 所 有 涉及 安全 事件 的 系统 
调用 进一步 给 出 相应 的 安全 检查 策略 ,然后 加 入 相应 的 安全 检验 机 制 。 新 增加 一 些 系统 
调用 ,它们 包括 对 审计 机 制 相 应 的 操作 .主体 安全 级 的 设置 和 读 取 、 客 体 安全 级 的 设置 和 
读 取 以 及 特权 操作 等 。 

(3) 将 核心 程序 分 解 为 安全 相关 的 和 安全 无 关 的 两 部 分 。 安 全 相关 部 分 指 涉及 安全 
事件 的 系统 调用 的 执行 实体 ,可 把 在 系统 调用 层 不 易 实现 的 少 部 分 安全 检查 放 在 这 些 核 
心 程序 中 完成 。 另 外 新 增加 一 部 分 核心 程序 ,作为 安全 检验 的 执行 体 和 新 增加 系统 调用 
的 执行 体 。 


本 一 般 开 发 过 程 


in 


任 一 系统 的 开发 过 程 一 般 都 包含 以 下 几 个 步骤 。 

。 系统 需求 分 析 : 描述 各 种 不 同 的 需求 。 

。 系统 功能 描述 : 准确 定义 应 完成 的 功能 ,而 且 还 应 包括 描述 验证 , 即 证 明 描 述 与 

需求 分 析 相 符合 。 

。 系统 实现 : 设计 并 建立 系统 ,也 包含 实现 验证 , 即 论证 实现 与 功能 描述 相符 合 。 

安全 需求 分 析 是 从 安全 策略 中 得 到 的 , 它 是 从 整个 系统 需求 分 析 中 抽取 的 一 小 部 分 。 
功能 描述 及 系统 实现 部 分 是 完整 的 ,并 不 是 只 抽取 涉及 安全 的 部 分 。 安 全 需求 分 析 的 主 
要 工作 是 对 描述 的 验证 (或 论证 )。 这 种 论证 是 非 形式 化 的 ,同时 安全 分 析 比 起 对 所 有 功 
能 需求 分 析 所 做 的 描述 验证 来 说 工作 量 要 小 得 多 ,因为 描述 中 所 提 到 的 许多 功能 对 安全 
几乎 没有 任何 影响 。 显 然 如 果 功 能 描述 使 其 中 安全 相关 的 功能 尽 可 能 地 独立 ,验证 就 会 
容易 得 多 。 
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在 安全 操作 系统 的 系统 开发 过 程 中 , 非 形式 化 路 径 是 常用 的 ,如 图 6-1 所 示 。 通 过 论 
证 和 测试 等 一 致 性 保证 步骤 ,分 别 证 明 功 能 描述 和 系统 实现 满足 安全 需求 分 析 , 但 是 没有 
经 过 数学 上 的 证 明 , 且 需求 分 析 和 功能 描述 以 自然 语言 写成 ,容易 造成 层 义 和 遗漏 。 当 系 
统 要 求 相当 高 的 安全 保证 时 ,这 时 只 能 采用 以 严格 数学 表示 和 推理 为 基础 的 形式 化 路 径 。 
可 以 把 用 自然 语言 写 的 安全 需求 分 析 改 写 为 形式 化 的 抽象 模型 ,但 要 求 形式 化 的 抽象 模 
型 与 非 形式 化 的 安全 需求 分 析 要 严格 地 出 自 同 一 安全 策略 。 同 样 自 然 语言 表示 的 功能 描 
述 也 可 以 被 改写 成 能 被 计算 机 处 理 的 形式 化 规范 。 然 后 使 用 数学 证 明代 替 对 规范 和 安全 
模型 之 间 一 致 性 的 论证 和 测试 。 

开发 的 形式 化 路 径 可 以 作为 非 形式 化 路 径 的 一 个 补充 ,但 不 能 完全 替代 非 形式 化 路 
径 。 实 际 上 在 目前 的 技术 条 件 下 很 难 证 明 系 统 实现 与 形式 描述 完全 相符 。 不 过 由 于 形式 
化 开发 路 径 的 出 现 ,使 得 在 证 明 系 统 实现 的 一 致 性 时 能 找到 一 种 比 测试 手段 更 可 信 的 半 
形式 化 论据 。 形 式 化 路 径 在 哪 一 个 阶段 使 用 以 及 在 各 阶段 应 使 用 到 什么 程度 ,都 根据 安 
全 保证 的 强 弱 要 求 而 变化 。 例 如 可 以 选用 一 个 抽象 模型 作为 安全 需求 分 析 的 附属 部 分 而 
不 用 形式 化 描述 ,但 这 时 必须 说 明 非 形式 化 验证 功能 规范 和 模型 是 否 相 符 。 另 外 还 可 以 
既 建 立 一 个 模型 又 做 出 形式 化 描述 ,但 省 略 形 式 化 证 明 过 程 ,但 这 时 要 求 利用 非 形式 化 论 
据 论 证 系统 实现 ,形式 化 规范 和 模型 三 者 是 一 致 的 。 

安全 操作 系统 的 一 般 开 发 过 程 见 图 8-4。 


安全 需求 分 析 


阶段 一 | 抽象 .归纳 出 安全 策略 


了 
建立 安全 模型 | 一 | 安全 模型 与 系统 的 对 应 性 说 明 | 


上 


1 
1 
阶段 二 | 安全 机 制 设计 与 实现 | 一 -| 安全 功能 测试 H 


i 


阶段 三 | 安全 操作 系统 可 信 度 认证 | 


图 8-4 安全 操作 系统 的 一 般 开 发 过 程 


一 


1. 建立 一 个 安全 模型 
对 一 个 现 有 操作 系统 的 非 安全 版 本 进行 安全 性 增强 之 前 ,首先 得 进行 安全 需求 分 析 。 
也 就 是 根据 所 面临 的 风险 .已 有 的 操作 系统 版 本 ,明确 哪些 安全 功能 是 原 系 统 已 具有 的 ， 
哪些 安全 功能 是 要 开发 的 。 只 有 明确 了 安全 需求 ,才能 给 出 相应 的 安全 策略 。 计 算 机 安 
全 模型 是 实现 安全 策略 的 机 制 , 它 描述 了 计算 机 系统 和 用 户 的 安全 特性 。 建 立 安全 模型 
有 利于 正确 地 评价 模型 与 实际 系统 间 的 对 应 关系 ,帮助 我 们 尽 可 能 精确 地 描述 系统 安全 
相关 功能 。 
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男 外 ,还 要 将 模型 与 系统 进行 对 应 性 分 析 , 并 考虑 如 何 将 模型 用 于 系统 开发 之 中 ,并 
且说 明 所 建安 全 模型 与 安全 策略 是 一 致 的 。 

2 安全 机 制 的 设计 与 实现 

建立 了 安全 模型 之 后 ,结合 系统 的 特点 选择 一 种 实现 该 模型 的 方法 。 使 得 开发 后 的 
安全 操作 系统 具有 最 佳 安全 /开发 代价 比 。 


3 安全 操作 系统 的 可 信和 度 认 证 
安全 操作 系统 设计 完成 后 ,要 进行 反复 的 测试 和 安全 性 分 析 , 并 提交 权威 评测 部 门 进 
行 安全 可 信和 度 认证 。 


8 .4 应 注意 的 问题 


841 TCB 的 设计 与 实现 


要 设计 一 个 安全 的 操作 系统 ,必须 从 安全 功能 和 安全 保证 两 方面 考虑 其 安全 性 。 就 
安全 保证 的 技术 要 求 来 说 ,需要 特别 注意 TCB 的 设计 与 实现 中 以 下 几 个 方面 问题 : 

。 配置 管理 ; 

。 分 发 和 操作 ; 

。 开发 ; 

。 指导 性 文档 ; 

。 生命 周期 支持 ; 

。 测试 ; 

。 脆弱 性 评定 。 

1. 配置 管理 

配置 管理 是 一 种 在 TCB 运行 中 实现 的 建立 功能 要 求 和 规范 的 方法 ,具体 要 求 可 从 配 
置 管理 自动 化 .配置 管理 能 力 和 配置 管理 范围 三 个 方面 予以 说 明 。 

1) 配置 管理 自动 化 

应 通过 配置 管理 自动 化 增加 配置 管理 系统 的 有 效 性 ,使 所 设计 的 TCB 不 易 受 人 为 错 
误 或 疏忽 的 影响 。 这 里 的 TCB 是 就 纯 软 件 而 言 的 ,通过 引进 自动 化 的 配置 管理 来 协助 
TCB 配置 项 的 正确 生成 ,并 确定 TCB 与 其 以 前 版 本 之 间 的 变化 ,以 及 预测 将 来 版 本 的 可 
能 改变 。 

配置 管理 自动 化 分 为 : 

(1) 部 分 配置 管理 自动 化 。 应 确保 TCB 的 实现 表示 是 通过 自动 方式 控制 的 ,从 而 可 
以 解决 由 于 复杂 实现 、 众 多 合作 者 合作 开发 、 开 发 过 程 中 的 多 种 变化 情况 等 所 引出 的 人 工 
难以 解决 的 问题 ,并 确保 这 些 变 化 都 是 由 已 授权 的 行为 所 产生 的 。 部 分 配置 管理 自动 化 
要 求 : 

。 通过 由 配置 管理 系统 所 提供 的 自动 方式 ,TCB 开发 者 应 确保 TCB 的 实现 表示 只 
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能 进行 已 授权 的 变化 ,并 能 以 自动 方式 来 支持 TCB 的 生成 ; 
。 开发 者 所 提供 的 配置 管理 计划 应 描述 配置 管理 系统 中 所 使 用 的 自动 工具 ,并 说 明 
如 何 使 用 这 些 工具 。 

(2) 完全 配置 管理 自动 化 ,除了 与 上 述 部 分 配置 管理 自动 化 有 相同 的 内 容 外 ,还 能 
自动 确定 TCB 版 本 间 的 变化 ,并 标识 出 哪个 配置 项 会 因 其 余 配 置 项 的 修改 而 受到 
影响 。 

2) 配置 管理 能 力 

应 确保 TCB 在 提交 用 户 运行 之 前 是 正确 和 完备 的 ,所 有 配置 项 不 会 缺少 ,并 能 防止 
对 TCB 配置 项 进行 未 授权 的 增加 、 删 除 或 修改 。 

配置 管理 能 力 的 设计 应 满足 以 下 要 求 : 

(1) 版 本 号 ,要 求 开 发 者 所 使 用 的 版 本 号 与 所 应 表示 的 TCB 样本 应 完全 对 应 ,没有 
歧义 。 

(2) 配置 项 ,要 求 配置 项 应 有 唯一 的 标识 ,从 而 对 TCB 的 组 成 有 更 清楚 的 描述 。 这 
些 描述 与 部 分 配置 管理 自动 化 的 要 求 相同 。 

(3) 授权 控制 ,要 求 开发 者 用 对 TCB 的 唯一 引用 作为 其 标签 ,从 而 使 TCB 的 使 用 者 
明确 自己 使 用 的 是 哪 一 个 样本 ;控制 机 制 使 TCB 不 会 受到 未 经 授权 的 修改 ,从 而 确保 
TCB 的 完整 性 。 

为 此 ,授权 控制 要 求 : 

。 配置 管理 计划 应 描述 系统 是 如 何 使 用 的 ,并 说 明 运 行 中 的 配置 管理 系统 与 配置 管 

理 计 划 的 一 致 性 ; 

。 配置 管理 文档 应 足以 说 明 在 配置 管理 系统 下 有 效 地 维护 了 所 有 的 配置 项 ; 

。 配置 管理 系统 应 确保 对 配置 项 只 进行 授权 修改 。 

(4) 生成 支持 和 验收 过 程 ,要 求 在 上 述 版 本 号 .配置 项 .授权 控制 的 基础 上 确认 对 配 
置 项 的 任何 生成 和 修改 都 是 由 授权 者 进行 的 。 为 此 配置 管理 系统 应 支持 TCB 的 生成 ,此 
外 验收 计划 应 描述 用 来 验收 修改 过 的 或 新 建 的 配置 项 的 过 程 ,并 把 它们 两 者 作为 TCB 的 
一 部 分 。 

(5) 进一步 的 支持 ,要 求 集成 过 程 有 助 于 确保 由 一 组 被 管理 的 配置 项 生成 TCB 的 过 
程 是 以 授权 的 方式 正确 进行 的 ,并 要 求 配置 管理 系统 有 能 力 标 识 用 于 生成 TCB 的 主 拷贝 
的 材料 ,这 有 助 于 通过 适当 的 技术 ,外 加 物理 的 和 过 程 的 安全 措施 来 保持 这 些 材 料 的 完整 
性 。 为 此 配置 管理 的 进一步 支持 要 求 : 

。 配置 管理 文档 除 应 包括 配置 清单 .配置 管理 计划 外 ,还 应 包括 一 个 验收 计划 和 集 

成 过 程 ,集成 过 程 主要 用 于 描述 在 TCB 制作 过 程 中 如 何 使 用 配置 管理 系统 ; 

。 配置 管理 系统 应 要 求 将 一 个 配置 项 接收 到 配置 管理 中 的 不 是 该 配置 项 的 开发 者 ; 

。 配置 管理 系统 应 明确 标识 组 成 TCB 安全 功能 (TSF) 的 配置 项 ; 

。 配置 管理 系统 应 支持 所 有 对 TCB 修改 的 审计 ,至 少 应 包括 操作 者 .日 期 .时 间 等 

信息 ; 

。 配置 管理 系统 应 有 能 力 标 明 用 于 生成 TCB 主 拷贝 的 所 有 材料 ; 

。 配置 管理 文档 应 标明 配置 管理 系统 与 开发 安全 方法 相 联系 的 使 用 ,并 只 人 允许 对 
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TCB 作 授 权 的 修改 ; 
。 配置 管理 文档 应 标明 集成 过 程 的 使 用 能 够 确保 TCB 的 生成 ,并 以 授权 的 方式 正 
确 进行 ; 
。 配置 管理 文档 应 标明 配置 管理 系统 足以 确保 负责 将 某 配 置 项 接收 到 配置 管理 中 
的 不 是 该 配置 项 的 开发 者 ; 
。 配置 管理 文档 应 能 证 明 接 收 过 程 对 所 有 配置 项 的 修改 都 提供 了 充分 而 适当 的 
复查 。 
3) 配置 管理 范围 
应 通过 确保 配置 管理 系统 跟踪 所 有 必需 的 TCB 配置 项 来 保证 这 些 配置 项 的 完整 性 。 
对 配置 管理 范围 的 要 求 包 括 以 下 内 容 : 
(1) TCB 配置 管理 范围 ,要 求 将 TCB 的 实现 表示 、 设 计 文 档 测试 文档 、 用 户 文档 , 管 
理 员 文 档 、 配 置 管理 文档 等 置 于 配置 管理 之 下 ,从 而 确保 对 它们 的 修改 是 在 一 个 正确 授权 
的 可 控 方 式 下 进行 的 。 


为 此 要 求 : 
。 开发 者 所 提供 的 配置 管理 文档 应 展示 配置 管理 系统 至 少 能 跟踪 上 述 配 置 管理 之 
下 的 内 容 ; 


。 文 档 应 描述 配置 管理 系统 是 如 何 跟踪 这 些 配 置 项 的 ; 

， 文 档 还 应 提供 足够 的 信息 来 证 明达 到 所 有 要 求 。 

(2) 问题 跟踪 配置 管理 范围 , 除 TCB 配置 管理 范围 描述 的 内 容 外 ,要 求 特别 强调 对 
安全 缺陷 的 跟踪 。 

(3) 开发 工具 配置 管理 范围 , 除 问 题 跟 踪 配 置 管理 范围 所 描述 的 内 容 外 ,要 求 特别 强 
调 对 开发 工具 和 相关 信息 的 跟踪 。 


2 分 发 和 操作 

分 发 和 操作 是 指 对 TCB 产品 进行 正确 的 分 发 .安装 、 生 成 和 启动 。 

1) 分 发 

应 通过 系统 控制 .分 发 工具 和 分 发 过 程 确保 接收 方 所 收 到 的 TCB 产品 正 是 发 送 者 所 
发 送 的 , 且 没 有 任何 修改 。 分 发 控制 的 主要 目标 是 在 分 发 过 程 中 能 够 检测 和 防止 对 TCB 
的 任何 修改 。 

(1) 分 发 过 程 ,应 将 对 TCB 全 部 或 部 分 的 分 发 以 文档 形式 提供 给 用 户 。 分 发 文档 应 描 
述 向 用 户 分 发 TCB 的 各 版 本 时 用 来 维护 安全 所 必需 的 所 有 过 程 ,并 要 求 按 该 过 程 进行 
分 发 。 

(2) 修改 检测 ,要 求 除 按 分 发 过 程 的 要 求 进行 TCB 的 分 发 外 ,分 发 文档 还 应 

。 描述 检测 修改 的 方法 和 技术 ,或 者 描述 开发 者 的 主 拷贝 与 用 户 收 到 的 版 本 之 间 的 

任何 差异 ; 

。 描述 用 来 检测 试图 伪装 成 开发 者 向 用 户 发 送 产品 的 方法 。 

(3) 修改 防止 ,要求 在 修改 检测 的 基础 上 ,分 发 文档 应 描述 如 何 防止 修改 的 方法 和 
技术 。 
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2) 操作 (安装 、 生 成 和 启动 ) 

应 确保 在 开发 者 所 期 望 的 安全 方式 下 进行 安装 、 生 成 和 启动 ,将 处 于 配置 控制 下 的 
TCB 的 实现 表示 安全 地 转换 为 用 户 环 境 下 的 初始 操作 。 对 于 不 同 的 TCB, 安 装 、 生 成 和 
启动 会 有 不 同 的 情况 ,如 智能 卡 的 所 有 安装 、 生 成 和 启动 可 能 都 在 开发 者 一 方 进行 ,而 纯 
软件 的 TCB 则 以 软件 形式 分 发 ,其 安装 、 生 成 和 启动 可 以 都 在 TCB 的 拥有 者 一 方 进行 。 
安装 、 生 成 和 启动 过 程 可 以 以 独立 的 文档 进行 描述 ,也 可 以 与 其 他 管理 员 文 档 一 起 描述 。 

(1) 安装 、 生 成 和 启动 过 程 ,要 求 开 发 者 以 文档 形式 提供 对 TCB 安全 地 进行 安装 、 生 
成 和 启动 的 过 程 进 行 说 明 ,并 确保 最 终生 成 了 安全 的 配置 。 

(2) 日 志 生成 ,要 求 文档 应 描述 建立 日 志 的 过 程 , 该 日 志 包含 了 用 于 生成 TCB 的 生 
成 选项 ,从 而 能 够 明确 决定 TCB 是 何 时 及 如 何 产生 的 。 


3. 开发 

开发 是 指 开发 者 应 采用 规范 化 的 方法 来 进行 TCB 的 设计 和 实现 ,开发 过 程 包括 功能 
设计 、 高 层 设 计 、 实 现 表 示 、TSF 内 部 结构 ,低层 设计 、 表 示 对 应 性 及 安全 策略 模型 化 。 

1) 功能 设计 

根据 要 求 的 形式 化 程度 和 所 提供 的 TSF 外 部 接口 的 详细 程度 ,功能 设计 分 为 : 

(1) 非 形式 化 功能 设计 ,应 使 用 非 形 式 化 风格 来 完备 地 描述 TSF 及 其 外 部 接口 ,并 
且 功 能 设计 应 当 是 内 部 一 致 的 。 应 当 提 供 使 用 所 有 外 部 TSF 接口 的 目的 与 方法 ,适当 的 
时 候 还 要 提供 结果 例外 情况 和 错误 信息 的 细节 。 

(2) 完全 定义 的 外 部 接口 , 除 上 述 非 形式 化 功能 设计 的 要 求 外 ,还 应 包括 TSF 已 被 
完备 表示 的 基本 原理 。 

(3) 半 形 式 化 功能 设计 ,应 使 用 半 形 式 化 风格 来 完备 地 描述 TSF 及 其 外 部 接口 , 必 
要 时 可 由 非 形式 化 .解释 性 的 文字 来 支持 。 其 余 要 求 与 上 述 相同 。 

(4) 形式 化 功能 设计 ,应 使 用 形式 化 风格 来 描述 TSF 及 其 外 部 接口 ,必要 时 由 非 形 
式 化 .解释 性 的 文字 来 支持 。 其 余 要 求 与 上 述 相同 。 

2) 高 层 设 计 

应 通过 对 TSF 中 每 个 结构 单元 的 功能 及 其 相互 关系 的 描述 ,实现 TCB 的 安全 功能 
要 求 。 根 据 所 要 求 的 形式 化 程度 和 所 提供 的 接口 说 明 的 详细 程度 .高层 设计 分 为 : 

(1) 描述 性 高 层 设计 ,要求 ， 

。 说 明 应 是 非 形式 化 的 .内 在 一 致 的 ,并 应 通过 单元 来 描述 TSF 的 结构 ; 

。 应 描述 每 一 个 单元 所 提供 的 安全 功能 ,标识 TSF 要 求 的 任何 基础 性 的 硬件 、 固 件 

或 软件 ,并 且 通 过 支持 这 些 硬 件 、 固 件 或 软件 所 实现 的 保护 机 制 ,来 提供 TSF 功 
能 表示 ; 

。 应 标识 TSF 单元 的 所 有 接口 ,并 标明 TSF 单元 的 哪些 接口 是 外 部 可 见 的 。 

(2) 安全 加 强 的 高 层 设计 , 除 上 述 描 述 性 高 层 设计 要 求 外 ,还 应 当 描 述 TSF 单元 所 
有 接口 的 使 用 目的 与 方法 ,并 提供 例外 情况 和 错误 信息 的 细节 ,以 及 描述 如 何 将 TCB 分 
离 成 TCB 安全 策略 (TSP) 的 加 强 单元 和 其 他 单元 。 

(3) 半 形 式 化 高 层 设计 ,要 求 高 层 设计 的 表示 应 是 半 形 式 化 的 ,并 对 TSF 单元 提供 
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所 有 结果 的 完整 细节 。 其 余 要 求 与 安全 加 强 的 高 层 设计 相同 。 

(4) 半 形 式 化 高 层 解释 , 除 上 述 要 求 外 ,还 要 求 高 层 设 计 应 当 证 明 所 标识 的 分 离 方法 
(包括 任何 保护 机 制 ) 是 足以 确保 从 非 TSP 加 强 功能 中 将 TSP 加 强 功能 清晰 而 有 效 地 分 
离 出 来 ,并 应 证 明 TSF 机 制 足以 实现 在 高 层 设 计 中 标识 的 安全 功能 。 

(5) 形式 化 高 层 设计 ,要 求 高 层 设 计 的 表示 应 是 形式 化 的 ,其 余 要 求 与 半 形 式 化 高 层 
解释 相同 。 

3) 实现 表示 

应 以 源 代码 、 固 件 或 硬件 等 方式 来 表述 TSF 的 具体 符号 表示 ,从 而 可 以 获得 TSF 内 
部 的 详细 工作 情况 。 根 据 完备 性 和 所 提供 实现 表示 的 结构 ,实现 表示 分 为 : 

(1) TSF 子 集 实现 ,实现 表示 应 无 歧义 地 定义 一 个 详细 级 别 的 TSF( 该 TSF 可 理解 
为 整个 TSF 的 一 个 部 分 ,但 从 内 容 上 来 讲 其 是 自 恰 的 ) ,无 须 进 一 步 地 设计 就 能 生成 相应 
的 TSF ,并 且 实 现 表 示 应 当 是 内 在 一 致 的 。 

(2) TSF 完全 实现 ,应 为 整个 TSF 提供 实现 表示 ,并 应 描述 各 部 分 之 间 的 关系 ,其 余 
要 求 同 上 。 

(3) TSF 的 结构 化 实现 ,实现 表示 应 是 构造 较 小 的 且 易 于 理解 。 其 余 要 求 与 TSF 完 
全 实现 相同 。 

4) TSF 内 部 结构 

应 采用 模块 化 .层次 化 和 策略 加 强 机 制 以 使 得 整个 TSF 复杂 度 最 小 化 ,另外 在 进行 
TSF 的 内 部 结构 设计 中 应 使 TSF 中 非 TSF 加 强 功能 性 的 数目 最 小 化 。 通 过 上 述 开发 策 
略 的 应 用 从 而 简化 了 TSF 的 设计 ,使 其 达到 可 分 析 的 程度 。 根 据 构成 TSF 的 模块 数量 
和 复杂 性 ,对 TSF 内 部 结构 的 要 求 为 : 

(1) 模块 化 ,应 以 模块 化 方法 设计 和 构建 TSF ,并 避免 设计 模块 之 间 出 现 不 必要 的 交 


于 具体 内 容 如 下 : 
。 结构 化 描述 应 当 标识 TSF 模块 ,并 应 描述 每 一 个 TSF 模块 的 目的 、 接 口 、 参 数 和 
作用 效果 ; 


。 结构 化 描述 应 当 描 述 TSF 设计 是 如 何 使 独立 的 模块 间 避 免 不 必 要 的 交互 作用 。 
(2) 复杂 性 降低 , 除 上 述 对 模块 化 的 要 求 外 ,还 要 求 结 构 化 描述 应 当 以 分 层 的 方式 设 
计 和 构建 TSF ,使 设计 层次 之 间 的 交互 作用 最 小 化 。 为 此 要 求 : 
。 在 设计 和 构建 TSF 时 ,应 使 TSF 部 分 的 复杂 度 最 小 化 ,以 利于 加 强 访问 控制 
策略 ; 
。 结构 化 描述 应 当 标识 TSF 模块 ,并 应 指明 TSF 的 哪些 部 分 是 用 于 加 强 访问 控制 
策略 的 ; 
。 结构 化 描述 应 描述 分 层 结构 ,并 说 明 如 何 使 交互 作用 最 小 化 ; 
。 结构 化 描述 应 描述 加 强 访问 控制 策略 的 TSF 部 分 是 如 何 被 构建 的 ,从 而 降低 
TSF 的 复杂 
(3) 复杂 性 最 小 化 , 除 上 述 复杂 性 降低 要 求 外 ,还 要 求 开 发 者 应 当 设计 和 构建 TSF， 
使 得 整个 TSF 的 复杂 性 最 小 化 。 为 此 要 求 : 
。 在 设计 和 构建 TSF 时 ,应 使 TSF 部 分 的 复杂 度 最 小 化 ,使 加 强 访问 控制 略 “ 简 单 
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到 足以 进行 分 析 ”; 
。 应 确认 那些 目的 与 TSF 无 关 的 功能 都 已 从 TSF 中 排斥 出 去 ; 
。 结构 化 描述 应 证 明 TSF 中 的 任何 非 TSP 加 强 模块 的 包含 关系 。 
5) 低层 设计 
应 对 TSF 的 每 一 个 模块 描述 它 的 目的 、 功 能、 接口 .依存 关系 和 所 有 TSP 加 强 功能 的 实 
现 。 根 据 低层 设计 所 要 求 的 形式 化 程度 和 接口 说 明 所 要 求 的 详细 程度 ,低层 设计 分 为 : 
(1) 描述 性 低层 设计 ,要 求 TSF 低层 设计 应 满足 : 
。 低层 设计 的 表示 应 是 非 形式 化 的 ,内 在 一 致 的 ,并 以 模块 术语 描述 ; 
。 低层 设计 应 描述 每 一 个 模块 的 目的 ; 
。 低层 设计 应 以 所 提供 的 安全 功能 和 对 其 他 模块 的 依存 关系 术语 定义 模块 间 的 相 
互 关系 ; 

。 低层 设计 应 描述 如 何 提供 每 一 个 TSP 加 强 功 能 ; 

。 低层 设计 应 标识 TSF 模块 的 所 有 接口 ,具体 是 标识 TSF 模块 的 哪些 接口 是 外 部 
可 见 的 ,以 及 描述 TSF 模块 所 有 接口 的 目的 与 方法 ,必要 时 还 应 提供 作用 效果 、 
例外 情况 和 错误 信息 的 细节 ; 

。 低层 设计 应 描述 如 何 将 TCB 分 离 成 TSP 加 强 模 块 和 其 他 模块 。 

(2) 半 形 式 化 低层 设计 , 除 上 述 描 述 性 低层 设计 要 求 外 ,要 求 低层 设计 应 当 是 半 形 式 
化 的 ,并 在 必要 时 提供 所 有 作用 效果 的 完备 细节 、 例 外 情况 和 错误 信息 。 

(3) 形式 化 低层 设计 , 除 上 述 半 形式 化 低层 设计 要 求 外 ,要 求 低层 设计 的 表示 应 当 是 
形式 化 的 。 

6) 表示 的 对 应 性 

各 种 TSF 表示 ,如 功能 设计 、 高 层 设计 ,低层 设计 、 实 现 表示 等 相 邻 表示 之 间 在 一 定 
严格 程度 上 应 具有 对 应 性 。 根 据 各 种 TSF 表示 之 间 的 对 应 性 所 需 的 形式 化 程度 ,表示 的 
对 应 性 分 为 : 

(1) 非 形式 化 对 应 性 说 明 ,应 在 所 提供 的 TSF 表示 的 所 有 相 邻 对 之 间 提 供 其 对 应 性 
分 析 , 即 对 所 提供 的 TSF 表示 的 每 个 相 邻 对 ,分 析 应 当 阐明 由 较为 抽象 的 TSF 表示 的 所 
有 相关 安全 功能 ,应 当 在 较 不 抽象 的 TSF 表示 中 得 到 正确 而 完备 的 细 化 。 

(2) 半 形 式 化 对 应 性 说 明 , 除 上 述 非 形式 化 对 应 性 要 求 外 ,还 要 求 对 所 提供 的 TSF 
表示 的 每 个 相 邻 对 , 当 两 者 的 各 部 分 至 少 都 是 以 半 形 式 化 来 描述 时 ,表示 部 分 之 间 的 对 应 
性 阐明 也 应 是 半 形 式 化 的 。 

(3) 形式 化 对 应 性 说 明 , 除 上 述 半 形式 化 对 应 性 要 求 外 ,还 要 求 : 

。 对 那些 要 求 以 形式 化 表示 的 相应 部 分 ,应 严格 证 明 其 对 应 性 ; 

。 对 所 提供 的 TSF 表示 的 每 个 相 邻 对 , 当 其 中 一 个 表示 是 半 形 式 化 ,而 另 一 个 表示 

至 少 也 是 半 形 式 化 的 时 ,表示 部 分 之 间 的 对 应 性 阐明 也 应 是 半 形 式 化 的 ; 
。 对 于 所 提供 的 TSF 表示 的 每 个 相 邻 对 ,如 果 两 者 的 各 部 分 都 是 形式 化 的 ,表示 部 
分 之 间 的 对 应 性 的 证 明 也 应 是 形式 化 的 。 
7) 安全 策略 模型 化 
通过 开发 基于 TSP 策略 的 安全 策略 模型 ,并且 建 立功 能 设计 、 安 全 策略 模型 和 TSP 


_ 
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策略 之 间 的 对 应 性 的 方法 ,来 确保 功能 设计 中 的 安全 功能 实现 了 TSF 中 的 策略 。 根 据 
TSF 模型 以 及 该 模型 与 功能 设计 之 间 对 应 性 所 要 求 的 形式 化 程度 ,安全 策略 模型 化 
分 为 : 
(1) 非 形式 化 TCB 安全 策略 模型 ,要求 TSP 模型 应 阐明 功能 设计 与 TSP 模型 之 间 
的 对 应 性 ,并 满足 : 
。 TSP 模型 应 是 非 形式 化 的 ,并 且 该 策略 模型 已 描述 了 所 有 可 以 模型 化 的 TSP 策 
略 的 规则 与 特征 ; 
。 TSP 模型 应 包括 一 个 基本 原理 ,阐明 该 模型 对 所 有 可 模型 化 的 TSP 策略 来 说 是 
与 其 一 致 的 .完备 的 ; 
。 TSP 模型 和 功能 设计 之 间 的 对 应 性 表述 应 说 明 所 有 功能 设计 中 的 安全 功能 对 于 
TSP 模型 来 说 是 与 其 一 致 的 .完备 的 。 
(2) 半 形 式 化 TCB 安全 策略 模型 , 除 上 述 非 形式 化 TCB 安全 策略 模型 的 要 求 外 ,要 
求 所 提供 的 TSP 模型 应 是 半 形 式 化 的 ,并 且 当 功能 设计 至 少 是 半 形 式 化 时 ,TSP 模型 与 
功能 设计 之 间 的 对 应 性 的 表述 也 应 是 半 形 式 化 的 。 
(3) 形式 化 TCB 安全 策略 模型 , 除 上 述 半 形 式 化 TCB 安全 策略 模型 的 要 求 外 ,要 求 
所 提供 的 TSP 模型 应 是 形式 化 的 ,并 且 当 功能 设计 是 形式 化 时 ,TSP 模型 与 功能 设计 之 
间 的 对 应 性 证 明 也 应 是 形式 化 的 。 


4 指导 性 文档 

指导 性 文档 是 指 开 发 者 为 使 用 者 安全 地 管理 和 使 用 TCB 所 提供 的 用 户 指南 和 管理 
员 指 南 , 并 在 其 中 描述 所 有 有 关 TCB 安全 应 用 方面 的 内 容 。 

1) 管理 员 指南 

管理 员 指南 应 当 描述 设置 、 维 护 和 管理 TCB 的 正确 方式 和 方法 ,最 大 限度 地 保证 
TCB 安全 和 运行。 管理 员 指 南 主要 用 来 帮助 管理 员 理 解 TCB 所 提供 的 安全 功能 ,包括 要 
求 管理 员 应 采取 的 紧急 安全 措施 和 应 提供 的 紧急 安全 信息 。 

管理 员 指南 应 包括 以 下 内 容 : 

(1) 描述 安全 管理 员 可 使 用 的 管理 功能 和 接口 ; 

(2) 描述 如 何以 安全 的 方式 管理 TCB; 

(3) 说 明 在 安全 处 理 环境 中 管理 员 可 获取 的 功能 和 权限 的 警告 ; 

(4) 描述 所 有 与 安全 操作 有 关 的 用 户 行为 的 假设 ; 

(5) 描述 所 有 受 安全 管理 员 控 制 的 安全 参数 ; 

(6) 描述 每 一 种 与 管理 功能 有 关 的 安全 相关 事件 ,包括 改变 为 安全 功能 所 控制 实体 
的 安全 特性 ; 

(7) 描述 与 安全 管理 员 有 关 的 系统 环境 的 所 有 安全 要 求 。 

2) 用 户 指南 

应 描述 TSF 提供 的 安全 功能 ,安全 功能 使 用 的 命令 和 指导 方针 ,包括 警报 信息 说 明 
等 。 用 户 指南 提供 了 关于 TCB 的 使 用 和 可 信 度 测量 的 假设 基础 ,这 样 非 恶 意 的 用 户 、 应 
用 提供 者 和 其 他 使 用 TCB 外 部 接口 的 人 员 都 能 理解 TCB 安全 操作 并 自觉 执行 。 在 许多 
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情况 下 ,用户 指南 可 以 适当 地 对 两 类 不 同 用 户 提供 单独 的 文档 : 一 类 是 一 般 的 操作 员 用 
户 , 另 一 类 是 使 用 软 硬 件 接口 的 应 用 程序 员 或 硬件 设计 员 。 

用 户 指南 应 包含 以 下 内 容 : 

(1) 描述 非 安全 管理 员 用 户 可 用 的 功能 和 接口 ; 

(2) 描述 用 户 可 获取 的 安全 功能 和 接口 的 用 法 ; 

(3) 说 明 在 安全 处 理 环境 中 用 户 可 获取 的 功能 和 权限 的 警告 ; 

(4) 阐明 安全 操作 中 用 户 应 负 的 责任 ,包括 在 安全 环境 中 能 找到 的 用 户 行为 的 假设 ; 

(5) 描述 与 用 户 有 关 的 系统 环境 的 所 有 安全 要 求 。 


5 生命 周期 支持 

生命 周期 支持 是 指 在 TCB 的 开发 和 维护 阶段 ,通过 安全 分 析 等 措施 不 断 增强 安全 性 
的 过 程 。 生 命 周 期 支持 包括 开发 安全 、 缺 陷 纠正 .生命 周期 定义 ,以 及 工具 和 技术 等 方面 
的 内 容 。 

入 开发 安全 

要 求 通过 采用 物理 的 程序 的 .人 员 的 以 及 其 他 方面 的 安全 措施 来 保护 TCB 开发 环 
境 的 安全 ,包括 开发 场地 的 物理 安全 和 对 开发 人 员 的 选择 ;应 采取 适当 的 防护 措施 来 消除 
或 降低 TCB 开发 所 面临 的 安全 威胁 。 

根据 所 要 求 的 安全 措施 的 充分 性 ,开发 安全 分 为 : 

(1) 安全 措施 的 说 明 ,要 求 提供 的 开发 安全 文件 中 应 包括 以 下 内 容 

。 描述 在 TCB 的 开发 环境 中 ,为 保护 TCB 设计 和 实现 的 机 密 性 和 完整 性 ,在 物理 

上 ,程序 上 、 人 员 上 以 及 其 他 方面 所 采取 的 必要 的 安全 措施 ; 

。 提供 在 TCB 的 开发 和 维护 过 程 中 执行 安全 措施 的 证 据 。 

(2) 安全 措施 的 充分 性 , 除 安全 措施 说 明 的 要 求 外 ,开发 安全 文件 中 所 提供 的 在 TCB 
的 开发 和 维护 过 程 中 执行 安全 措施 的 证 据 应 能 证 明 安全 措施 对 维护 TCB 的 保密 性 和 完 
整 性 提供 了 必要 的 保护 。 

2) 缺陷 纠正 

应 跟踪 和 纠正 TCB 的 缺陷 ,并 提供 缺陷 信息 和 纠正 缺陷 所 采取 的 策略 和 过 程 。 根 据 
缺陷 纠正 的 范围 不 断 扩 大 和 缺陷 纠正 策略 的 严格 性 程度 不 断 提 高 ,缺陷 纠正 分 为 ， 

(1) 基本 缺陷 纠正 ,要求 缺陷 纠正 程序 文档 中 应 : 

。 描述 用 于 跟踪 所 有 TCB 版 本 里 已 被 报告 的 安全 缺陷 的 过 程 ; 

。 描述 所 提供 的 每 个 安全 缺陷 的 性 质 和 效果 ,以 及 缺陷 纠正 的 情况 ; 

。 标识 对 每 个 安全 缺陷 所 采取 的 纠正 措施 ; 

。 描述 为 TCB 用 户 的 纠正 行为 所 提供 的 信息 、 纠 正和 指导 的 方法 。 

(2) 缺陷 报告 , 除 基 本 缺陷 纠正 要 求 外 ,还 要 求 缺 陷 报告 应 : 

。 记录 缺陷 纠正 的 过 程 ,制定 用 来 接受 用 户 对 于 安全 缺陷 的 报告 并 且 纠正 这 些 缺 陷 

的 措施 ; 

。 描述 用 于 跟踪 所 有 TCB 版 本 里 已 报告 的 安全 缺陷 的 过 程 ; 

。 已 报告 的 安全 缺陷 的 处 理 过 程 应 确保 所 有 已 知 缺陷 都 已 被 纠正 ,并 将 纠正 办 法 告 
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知 用 户 ; 
。 已 报告 的 安全 缺陷 的 处 理 过 程 应 提供 防范 机 制 ,确保 为 纠正 这 些 安全 缺陷 所 引进 
的 纠正 方法 不 会 i 

(3) 系统 缺陷 纠正 , 除 缺 陷 报 告 要 求 外 ,应 为 用 户 有 关 TCB 的 安全 问题 的 报告 和 查 
询 指明 一 个 或 多 个 特别 联系 点 ， et 个 过 程 , 它 负责 及 时 将 安全 缺陷 报告 及 其 
相应 的 纠正 自动 分 发 给 可 能 受到 这 种 安全 缺陷 影响 的 注册 用 户 。 

3) 生命 周期 定义 

应 在 TCB 的 生命 周期 内 建立 TCB 开发 和 维护 的 模型 。 为 了 确保 TCB 能 满足 它 所 
有 的 安全 功能 要 求 ,并 提高 TCB 的 整体 质量 ,一 个 标准 的 生命 周期 模型 应 是 为 某 些 专家 
组 (例如 学 科 专 家 、 标 准 化 实体 等 ) 所 认可 的 模型 ;一 个 可 测量 的 生命 周期 模型 应 是 带 有 算 
snore heat ne 生命 周期 模型 应 包括 用 于 
开发 和 维护 TCB 的 过 程 、 工 具 和 技术 。 这 个 模型 所 涉及 的 内 容 包 括 设 计 方法 、 复 查 过 程 、 
项 目 管理 控制 ,转换 控制 过 程 me 

为 了 满足 不 断 提高 生命 周期 模型 的 标准 化 、 可 测 性 和 符合 性 的 要 求 ,生命 周期 定义 主 
要 包括 : 

(1) 开发 者 定义 的 生命 周期 模型 ,要 求 开 发 者 应 建立 用 于 开发 和 维护 TCB 的 生命 周 
期 模型 ,并 且 该 模型 应 对 TCB 开发 和 维护 提供 必要 的 控制 。 开 发 者 所 提供 的 生命 周期 定 
义 文档 应 描述 用 于 开发 和 维护 TCB 的 模型 。 

(2) 标准 生命 周期 模型 ,要求 开 发 者 建立 标准 化 的 .用 于 开发 和 维护 TCB 的 生命 周 
期 模型 。 该 模型 应 对 TCB 开发 和 维护 提供 必要 的 控制 。 开 发 者 所 提供 的 生命 周期 定义 
文档 应 描述 用 于 开发 和 维护 TCB 的 模型 ,解释 选择 该 模型 的 原因 ,解释 如 何 用 该 模型 来 
开发 和 维护 TCB, 另 外 还 得 阐明 与 标准 化 的 生命 周期 模型 的 相符 性 。 

(3) 可 测量 的 生命 周期 模型 ,要求 开发 者 应 建立 标准 化 的 、 可 测量 的 用 于 开发 和 维护 
TCB 的 生命 周期 模型 ,并 用 此 模型 来 衡量 TCB 的 开发 。 该 模型 应 对 TCB 开发 和 维护 提 
供 必要 的 控制 。 

开发 者 所 提供 的 生命 周期 定义 文档 应 ord i TCB 的 模型 ,包括 针对 
该 模型 衡量 TCB 开发 所 需 的 算术 参数 或 度量 的 细节 。 生 命 周期 定义 文档 应 解释 选择 
该 模型 的 原因 ,解释 如 何 用 该 模型 来 开发 和 维护 TCB， sy 与 标准 化 的 可 测量 的 生命 
周期 模型 的 相符 性 ,以 及 提供 利用 标准 化 的 可 测量 的 生命 周期 模型 来 进行 TCB 开发 的 
测量 结果 。 

4) 工具 和 技术 

应 明确 定义 用 于 开发 .分 析 和 实现 TCB 的 工具 ,如 编程 语言 .文档 、 实 现 标准 以 及 其 
他 支持 TCB 运行 的 程序 库 等 ,这 些 一 般 是 无 须 进 一 步 检 验 就 可 以 使 用 。 

根据 实现 标准 实现 的 文档 描述 和 范围 要 求 的 不 同 ,工具 和 技术 分 为 : 

(1) 明确 定义 的 开发 工具 ,要 求 开 发 者 应 标识 用 于 开发 TCB 的 工具 ,并 且 所 有 用 于 
实现 的 开发 工具 都 必须 有 明确 定义 。 开 发 者 应 文档 化 已 选择 的 依赖 实现 的 开发 工具 的 选 
项 ,并 且 开 发 工具 文档 应 明确 定义 实现 中 每 个 语句 的 含义 ,以 及 明确 定义 所 有 基于 实现 的 
选项 的 含义 。 
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(2) 遵照 实现 标准 -应 用 部 分 , 除 明确 定义 的 开发 工具 的 要 求 外 ,要 求 开 发 者 应 描述 
所 应 用 部 分 的 实现 标准 。 

(3) 遵照 实现 标准 -所 有 部 分 , 除 遵 照 实现 标准 -应 用 部 分 的 要 求 外 ,还 要 求 开 发 者 摘 
述 TCB 所 有 部 分 的 实现 标准 。 


6 测试 

测试 有 助 于 确定 TCB 是 否 满足 其 安全 功能 的 要 求 。 测 试 还 可 以 直接 面向 TSF 的 内 
部 结构 ,如 针对 设计 规范 对 各 个 子 系统 和 模块 进行 测试 。 测 试 包括 范围 .深度 ,功能 测试 
和 独立 性 测试 等 方面 的 内 容 。 

1) 范围 

应 表明 所 标识 的 测试 范围 如 何 象 功能 设计 中 描述 的 那样 与 TSF 相 一 致 。 这 里 不 需 
要 开发 者 覆盖 TSF 的 各 个 方面 ,但 有 必要 考虑 其 不 足 之 处 。 测 试 范围 包括 : 

(1) 范围 的 证 据 ,要 求 开发 者 通过 提供 相应 的 证 据 表 明 TSF 已 经 按照 功能 要 求 进行 
了 测试 。 开 发 者 所 提供 的 测试 范围 的 证 据 应 当 表明 测试 文档 中 所 标识 的 测试 与 功能 设计 
中 所 描述 的 TSF 之 间 的 对 应 性 。 

(2) 范围 分 析 , 要 求 开发 者 通过 提供 对 应 性 分 析 表 明 TSF 已 经 以 系统 的 方法 针对 功 
能 规范 进行 了 测试 。 为 此 要 求 : 

。 开发 者 所 阐明 的 已 标识 的 测试 应 包括 在 功能 设计 中 描述 的 所 有 安全 功能 的 测试 ， 

。 开发 者 所 提供 的 范围 分 析 应 当 表 明 测试 文档 中 所 标识 的 测试 与 功能 设计 中 所 撒 

述 的 TSF 之 间 的 对 应 性 ; 
。 测试 范围 的 分 析 应 当 阐明 功能 设计 中 所 描述 的 TSF 和 测试 文档 所 标识 的 测试 之 
间 的 对 应 性 是 完备 的 。 

(3) 严格 的 范围 分 析 , 除 上 述 范围 分 析 要 求 外 ,还 要 求 测试 范围 的 分 析 应 当 严 格 地 并 
明 为 功能 设计 所 标识 TSF 的 所 有 外 部 接口 已 经 被 完备 测试 过 了 。 

2) 测试 深度 

测试 的 级 别 应 适合 所 要 求 的 安全 级 别 ,达到 所 要 求 的 详细 程度 。 根 据 TSF 表示 所 提 
供 的 从 高 层 设计 到 实现 表示 不 断 增加 的 细节 ,测试 的 深度 分 为 : 

(1) 高 层 设 计 测试 ,要 求 用 “单元 ”描述 对 TSF 高 层 设 计 的 测试 。TSF 单元 提供 TSF 
内 部 工作 的 一 个 高 层 描述 。 以 阐明 缺陷 为 目的 的 单元 级 别 的 测试 保证 了 该 单元 已 正确 实 
现 。 开 发 者 所 提供 的 测试 深度 分 析 应 阐明 测试 文档 中 所 标识 的 测试 足以 表明 该 TSF 的 
行为 是 与 高 层 设计 一 致 的 。 

(2) 低层 设计 测试 ,要 求 用 “模块 ”描述 对 TSF 低层 设计 的 测试 。TSF 模块 提供 TSF 
内 部 工作 的 低层 描述 。 以 阐明 缺陷 为 目的 的 模块 级 别 的 测试 确保 TSF 的 模块 已 经 正确 
实现 。 开 发 者 所 提供 的 测试 深度 分 析 应 阐明 测试 文档 中 所 标识 的 测试 足以 表明 该 TSF 
行为 是 与 高 层 设计 和 低层 设计 一 致 的 。 

(3) 实现 表示 测试 ,应 确保 该 TSF 已 正确 实现 。 要 求 开 发 者 所 提供 的 测试 深度 分 析 
能 够 阐明 测试 文档 中 所 标识 的 测试 足以 表明 该 TSF 是 根据 高 层 设 计 、 低 层 设 计 和 实现 表 
示 而 运作 的 。 
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3) 功能 测试 

应 展示 TSF 满足 安全 保护 框架 (PP) 所 要 求 的 安全 功能 ,保证 TSF 至 少 能 够 满足 安 
全 功能 的 要 求 。 测 试 过 程 应 提供 测试 程序 和 测试 工具 的 使 用 说 明 书 ,包括 测试 环境 ,测试 
条 件 ,测试 数据 参数 和 值 。 测 试 过 程 还 应 该 显示 如 何 从 输入 中 得 到 测试 结果 。 

功能 测试 包括 以 下 内 容 。 

(1) 一 般 功 能 测试 ,要 求 开 发 者 阐明 所 有 的 安全 功能 按照 规定 运作 。 为 此 要 求 : 

。 开 发 者 所 提供 的 测试 文档 应 包括 测试 计划 、 测 试 过 程 描述 , 预 期 的 测试 结果 和 实 

际 测试 结果 ; 
。 测试 计划 应 标识 要 测试 的 安全 功能 ,描述 要 达到 的 测试 目标 ; 
。 测试 过 程 描述 应 标识 要 执行 的 测试 ,并 描述 每 个 安全 功能 的 测试 概况 ,包括 对 其 
他 测试 结果 的 顺序 依赖 性 ; 

。 期 望 的 测试 结果 应 当 表明 成 功 测试 运行 后 的 预期 输出 。 

(2) 顺序 的 功能 测试 , 除 满足 一 般 功 能 测试 要 求 外 ,还 要 求 测试 文档 应 包含 测试 过 程 
中 对 顺序 依赖 性 的 分 析 。 

4) 独立 性 测试 

应 由 评估 者 或 一 个 有 专业 知识 的 团体 支持 的 独立 实验 室 或 消费 者 组 织 实 施 测 试 。 这 
种 测试 需要 与 其 他 保证 行为 的 表现 相 一 致 的 对 于 TCB 的 理解 。 独 立 性 测试 可 以 采用 全 
部 或 部 分 重复 开发 者 功能 测试 的 形式 ,也 可 采用 讨论 开发 者 功能 测试 的 形式 ,来 拓宽 开发 
者 测试 的 深度 或 广度 ,或 者 是 测试 对 TCB 都 适用 的 公用 领域 中 明显 的 安全 性 弱点 。 这 些 
行为 是 互补 的 ,并 且 对 于 每 个 TCB 功能 都 可 制订 一 个 适当 的 组 合计 划 。 这 个 组 合计 划 考 
虑 了 测试 结果 的 可 用 性 和 适用 范围 ,以 及 TSF 的 功能 复杂 度 。 一 个 测试 计划 要 开发 到 与 
其 他 安全 保护 要 求 的 级 别 一 致 的 程度 ,并 像 更 高 的 安全 保护 所 要 求 的 那样 ,包括 更 多 样本 
的 重复 测试 ,更 多 的 由 评估 者 实施 的 正面 和 反面 功能 测试 。 

根据 测试 文档 ,测试 支持 和 评估 者 测试 的 数目 ,独立 性 测试 分 为 : 

(1) 相符 性 独立 测试 ,应 表明 安全 功能 是 按照 规定 运作 的 。 要 求 开 发 者 应 提供 用 于 
测试 的 TCB, 并 且 该 TCB 要 与 测试 相 适 应 。 

(2) 抽样 独立 性 测试 ,要 求 通过 选择 和 重复 测试 开发 者 测试 的 一 个 抽样 ,表明 安全 功 
能 按 规范 运作 。 开 发 者 应 提供 能 有 效 重 现 开发 者 测试 的 必需 资料 ,包括 可 由 机 器 阅读 的 
测试 文档 ,测试 程序 等 。 评 估 者 应 拥有 开发 者 提供 的 有 用 的 测试 结果 以 补充 测试 过 程 。 
要 求 开发 者 所 提供 的 用 于 测试 的 TCB 应 与 测试 相 一 致 ,并 提供 一 个 与 开发 者 的 TSF 功 
能 测试 中 使 用 的 资源 相等 的 集合 。 

(3) 完全 独立 性 测试 ,应 通过 重复 所 有 开发 者 的 测试 来 表明 所 有 安全 功能 按 规 定 执 
行 。 除 了 要 求 评估 者 应 执行 测试 文档 内 的 所 有 测试 ,以 验证 开发 者 的 测试 结果 外 ,其 余 要 
求 与 抽样 独立 性 测试 相同 。 

7 脆弱 性 评定 

脆弱 性 评定 是 对 TCB 的 设计 和 运行 过 程 中 所 存在 的 影响 其 安全 性 的 各 种 因素 的 分 
析 和 评定 ,包括 隐蔽 通道 的 存在 性 分 析 ,TCB 的 误 用 或 不 正确 设置 的 可 能 性 ,攻破 系统 的 
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概率 或 排列 机 制 的 可 能 性 ,以 及 在 TCB 的 开发 和 操作 中 引入 可 利用 脆弱 性 的 可 能 性 。 

1) 隐蔽 信道 分 析 

应 确定 并 标识 出 TCB 中 非 预 期 的 信号 通道 的 存在 性 及 其 潜在 的 容量 。 通 道 容量 的 
估计 是 基于 非 形 式 化 的 工程 度量 和 实际 的 测量 。 隐 项 信 汉 全 入 各 于 入 松江 本 以 杞 所 入 
理 器 速度 .系统 或 网 络 配置 .内 存 大 小 和 缓存 大 小 等 。 

隐藏 信道 分 析 是 建立 在 TCB 的 实现 ,管理 员 指 南 、 用 户 指 南 以 及 完整 定义 的 外 部 接 
口 等 基础 上 的 。 隐 项 信道 分 析 可 以 是 一 般 性 的 ,也 可 以 是 系统 化 的 ,或 者 是 严格 的 ,其 要 
求 如 下 : 

(1) 一 般 性 的 隐蔽 信道 分 析 , 应 通过 对 隐蔽 信道 的 非 形式 化 搜索 ,标识 出 可 标识 的 隐 
蔽 信道 ,为 此 要 求 : 

。 对 每 个 信息 流 控 制 策略 都 应 搜索 隐蔽 信道 ,并 提供 隐蔽 信道 分 析 的 文档 ; 

。 分 析 文 档 应 标识 出 隐蔽 信道 并 估计 它们 的 容量 ; 

。 分析 文 档 应 描述 用 于 确定 隐蔽 信道 存在 的 过 程 ,以 及 进行 隐蔽 信道 分 析 所 需要 的 

信息 ， 

。 分 析 文 档 应 描述 隐蔽 信道 分 析 期 间 所 做 的 全 部 假设 ; 

。 分 析 文 档 应 当 描 述 最 坏 的 情况 下 对 通道 容量 进行 估计 的 方法 ; 

。 分析 文档 应 当 为 每 个 可 标识 的 隐蔽 信道 描述 其 最 坏 的 利用 情形 。 

(2) 系统 化 的 隐蔽 信道 分 析 ， 应 通过 对 隐 珊 信道 的 系统 化 搜索 ,标识 出 可 标识 的 隐 世 
信道 。 为 此 要 求 开 发 者 以 结构 化 、 可 重复 的 方式 标识 出 隐蔽 信道 。 除 上 述 一 般 性 隐蔽 信 
道 分 析 要 求 外 ,还 要 求 分 析 文 档 提 供 证 据 证 明 用 于 标志 隐 项 信道 的 方法 是 系统 化 的 。 

(3) 彻底 的 隐蔽 信道 分 析 , 应 通过 对 隐蔽 信道 的 穷 举 搜索 ,标识 出 可 标识 的 隐蔽 信 
道 。 为 此 要 求 开发 者 提供 额外 的 证 据 , 证 明 对 隐蔽 信道 的 所 有 可 能 的 搜索 方法 都 已 执行 。 
其 具体 要 求 与 系统 化 隐蔽 信道 分 析 要 求 相 同 。 

2) 防止 误 用 

应 防止 对 TCB 以 不 安全 的 方式 进行 使 用 或 配置 而 不 为 人 们 所 察觉 。 为 此 应 使 对 
TCB 的 无 法 检测 的 不 安全 配置 和 安装 ,操作 中 人 为 的 或 其 他 错误 造成 的 安全 功能 解除 、 
无 效 或 者 无 法 激活 ,以 及 导致 进入 无 法 检测 的 不 安全 状态 的 风险 达到 最 小 。 要 求 提供 指 
导 性 文档 ,以 防止 提供 冲突 ,误导 、 不 完备 或 不 合理 的 指南 。 指 导 性 文档 应 满足 以 下 要 求 : 

(1) 指南 检查 ,要 求 指导 性 文档 应 : 

。 包括 安装 .生成 和 启动 过 程 , 非 形式 化 功能 设计 、 管 理 员 指 南 和 用 户 指南 等 ; 

。 明确 说 明 对 TCB 的 所 有 可 能 的 操作 方式 (包括 失败 和 操作 失误 后 的 操作 )、 后 果 

以 及 对 于 保持 安全 操作 的 意义 

。 是 完备 的 、 清 晰 的 一 致 的 ,合理 的 ,应 列 出 所 有 目标 环境 的 假设 ,并 列 出 所 有 外 部 

安全 措施 (包括 外 部 过 程 的 ,物理 的 或 人 员 的 控制 ) 的 要 求 。 

(2) 分 析 确 认 ,在 指南 检查 的 基础 上 ,应 文档 化 指导 性 文档 ,并 要 求 分 析 文 档 应 阐明 
指导 性 文档 是 完备 的 。 

(3) 对 安全 状态 的 检测 和 分 析 , 在 分 析 确 认 的 基础 上 ,还 应 进行 独立 测试 ,以 确定 管 
理 员 或 用 户 在 理解 指导 性 文档 的 情况 下 能 基本 判断 TCB 是 否 在 不 安全 状态 下 配置 或 
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运行 。 

3) TCB 安全 功能 强 

rs 是 通过 对 安全 机 制 的 安全 行为 的 合格 性 分 析 或 对 统计 
的 分 析 结 果 , 以 及 为 克服 脆弱 性 所 付出 的 努力 得 到 的 。 为 了 对 安全 功能 强度 进行 评估 ,应 
对 安全 目标 中 标识 的 每 个 具有 TCB 安全 功能 强度 声明 的 安全 机 制 进行 TCB 安全 功能 强 
度 的 分 析 ,证 明 该 机 制 达到 或 超过 安全 目标 要 求 所 定义 的 最 低 强度 ,并 证 明 该 机 制 达 到 或 
超过 安全 目标 要 求 所 定义 的 特定 功能 强度 。 

4) 脆弱 性 分 析 

应 能 够 发 现 缺 陷 的 威胁 。 这 些 缺 陷 会 导致 对 资源 的 非 授 权 访 问 , 对 TCB 安全 功能 的 
影响 或 改变 ,或 者 干涉 其 他 授权 用 户 的 权限 。 根 据 不 断 增加 的 严格 性 ,脆弱 性 分 析 分 为 : 

(1) 开发 者 脆弱 性 分 析 , 应 确定 明显 的 安全 脆弱 性 的 存在 ,并 确认 在 所 期 望 的 TCB 
环境 下 所 存在 的 脆弱 性 不 会 被 利用 。 为 此 应 通过 搜索 用 户 能 违反 TSP 的 明显 途径 ,文档 
化 TCB 明显 的 脆弱 性 分 布 。 对 所 有 已 标识 的 脆弱 性 ,文档 应 说 明 在 所 期 望 的 IT 环境 中 
这 些 脆弱 性 是 无 法 被 利用 的 。 

(2) 独立 脆弱 性 分 析 ,评估 者 通过 独立 穿 透 测试 ,确定 TCB 可 以 抵御 的 低级 攻击 能 
力 攻 击 者 发 起 的 穿 透 性 攻击 。 为 此 , 除 满足 开发 者 脆弱 性 分 析 要 求 外 ,还 要 求 所 提供 的 文 
档 应 当 证 明 对 于 具有 已 标识 脆弱 性 的 TCB 可 以 抵御 明显 的 穿 透 性 攻击 。 评 佑 者 则 应 进 
一 步 实 施 独立 的 脆弱 性 分 析 , 并 在 此 基础 上 实施 独立 的 穿 透 性 测试 ,以 确定 在 所 期 望 环境 
下 额外 标识 的 脆弱 性 的 可 利用 性 。 

(3) 中 级 抵抗 力 ,在 独立 脆弱 性 分 析 的 基础 上 ,要 求 所 提供 的 证 据 应 说 明 对 脆弱 性 的 
搜索 是 系统 化 的 。 评 估 者 则 应 确定 可 以 抵御 具有 中 级 攻击 能 力 的 攻击 者 发 起 的 对 TCB 
的 穿 透 性 攻击 。 

(4) 高 级 抵抗 力 ,在 中 级 抵抗 力 的 基础 上 ,要 求 所 提供 的 分 析 文 档 应 表明 该 分 析 完 
地 表述 了 TCB 的 脆弱 性 。 评 估 者 应 确定 可 以 抵御 具有 高 级 攻击 能 力 的 攻击 者 发 起 的 对 
TCB 的 穿 透 性 攻击 。 


842 安全 机 制 的 友好 性 


安全 操作 系统 应 与 应 用 系统 的 安全 机 制 无 颖 连接 ,各 种 安全 机 制 之 间 无 冲突 。 所 以 
ee 必须 遵循 以 下 三 条 原则 : 

。 安全 不 应 影响 遵守 规则 的 用 户 ; 

。 便于 用 户 的 授权 存 取 ; 

。 便于 用 户 的 控制 存 取 。 

对 于 大 多 数 用 户 及 他 们 所 做 的 工作 来 说 ,安全 性 应 该 是 透明 的 。 


843 兼容 性 和 效率 


如 果 基 于 一 个 现 有 操作 系统 作 安全 性 增强 开发 ,不 可 忽视 的 两 个 问题 是 安全 系统 与 

原 有 系统 的 兼容 性 以 及 安全 性 开发 对 系统 带 来 的 效率 损失 。 设 计 和 开发 安全 操作 系统 的 

主要 目的 是 安全 性 ,但 安全 性 的 建立 必须 与 系统 其 他 方面 的 需求 求 得 平衡 ,在 基本 达到 安 
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全 目标 的 前 提 下 ,不 应 过 分 地 影响 其 他 特性 。 

当然 , 当 系 统 安 全 性 ,兼容 性 和 效率 三 者 发 生 了 矛盾 时 ,首先 要 保证 安全 性 ,然后 考虑 兼 
容 性 ,最 后 考虑 效率 。 但 在 实际 设计 中 ,在 不 违反 上 述 原则 的 前 提 下 ,将 在 安全 机 制 的 完 
备 性 .与 原 系统 的 兼容 性 及 系统 的 效率 方面 做 出 平衡 。 


85 安 胜 安 全 操作 系统 设计 


851 设计 目标 

安 胜 安全 操作 系统 (以 下 简称 安 胜 OS) 是 基于 Linux 核心 资源 ,自主 开发 的 安全 增强 
型 安全 操作 系统 。 设 计 目标 是 开发 满足 GB 17859 一 199% 计 算 机 信息 系统 安全 保护 等 级 
划分 准则 ;第 三 级 (安全 标记 保护 级 ) 和 第 四 级 (结构 化 保护 级 ) 安 全 功能 要 求 的 安全 操作 
系统 。 该 工程 分 两 个 阶段 完成 。 第 一 阶段 成 果 为 “安全 标记 保护 级 "安全 操作 系统 一 一 安 
胜 OS V3.0; 第 二 个 阶段 成 果 为 结构 化 保护 级 ”安全 操作 系统 一 一 安 胜 OS V4. 0。 

第 一 阶段 :“ 安 全 标记 保护 级 ”安全 操作 系统 一 一 安 胜 OSV3.0 

安 胜 OSV3.0 设计 的 总 体 目标 是 : 研制 一 个 安全 功能 符合 GB 17859 一 1999 第 三 级 
安全 功能 要 求 的 安全 操作 系统 原型 ,并 参考 美国 国防 部 橘 皮 书 TCSEC Bl 和 B2 级 安全 
功能 需求 和 我 国 (计算 机 信息 系统 安全 管理 条 例 》《 保 密 法 》 等 要 求 和 我 国 的 国情 及 实际 
需求 ,其 主要 安全 功能 目标 如 下 所 示 。 

(1) 为 系统 中 的 主体 和 客体 标识 安全 级 ,实现 强制 访问 控制 机 制 (MAC) 。 

(2) 采用 ACL 技术 ,将 自主 访问 控制 (DAC) 粒 度 细 划 到 单个 用 户 /组 。 

(3) 建立 一 套 高 效 的 审计 机 制 。 

(4) 建立 一 套 全 面 规范 的 文档 。 此 外 ,还 提供 若干 第 四 级 要 求 的 安全 机 制 。 

(5) 实现 最 小 特权 管理 。 

(6) 为 系统 用 户 注册 建立 一 条 可 信 通 路 。 

第 二 阶段 :“ 结 构 化 保护 级 ”安全 操作 系统 一 一 安 胜 OS V4.0 

安 胜 OS V4.0 设计 的 总 体 目标 是 : 研制 一 个 安全 功能 符合 我 国 国标 GB 17859 第 四 
级 的 安全 操作 系统 原型 系统 , 即 安全 功能 符合 国标 GB 17859《 结 构 化 保护 级 的 安全 功能 
要 求 ,安全 保证 则 参考 GB/T 18336 的 EAL4、EAL5 的 相关 要 求 ,并 基于 密码 资源 ,实现 
访问 控制 和 密码 服务 的 有 机 结合 。 其 主要 安全 功能 目标 包括 : 

(1) 建立 一 个 明确 定义 的 形式 化 安全 策略 模型 

(2) 对 所 有 主体 和 客体 实施 强制 访问 控制 ; 

(3) 实施 强制 完整 性 策略 保护 数据 完整 性 ,阻止 非 授 权 用 户 修改 或 破坏 敏感 信息 

(4) 实现 标识 /鉴别 与 强身 份 认证 ; 

(5) 实现 客体 重用 控制 ; 

(6) 实现 隐蔽 存储 通道 分 析 ; 

(7) 建立 完备 的 审计 机 制 ; 
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(8) 建立 完备 的 可 信 路 径 ; 

(9) 支持 系统 管理 员 和 操作 员 的 职能 ,实现 最 小 特权 管理 ; 
(10) 提供 可 靠 的 密码 服务 ; 

(11) 建立 一 套 全 面 规范 的 文档 。 


852 开发 方法 


1 安全 内 核 开发 方法 

安 胜 OS 基于 Linux 资源 的 开发 采用 的 是 改进 /增强 法 , 即 以 系统 调用 为 基 元 ,引入 
可 信任 计算 基 (TCB) 机 制 ,分别 在 系统 调用 中 实施 强制 访问 控制 机 制 (MAC) 和 自主 访问 
控制 机 制 (DAC) ,新 开发 审计 机 制 . 最 小 特权 管理 机 制 、. 可 信 通 路 机 制 并 进行 隐蔽 通道 处 
理 等 。 另 外 ,新 增加 一 部 分 实现 安全 机 制 本 身 的 系统 调用 。 具 体 是 : 

(1) 对 Linux 实用 程序 进行 面向 安全 策略 的 分 析 , 将 它们 分 成 可 信 程序 和 一 般 应 用 
序 。 可 信 程 序 主要 包括 注册 程序 ,用 户 管理 程序 ,特权 用 户 程序 等 ,一 部 分 是 原 有 程序 
行 安全 性 扩充 来 的 , 另 一 部 分 是 新 开发 的 ,它们 与 核心 的 安全 机 制 有 关 。 

(2) 面向 安全 策略 ,逐个 分 析 Linux 系统 调用 ,对 所 有 涉及 安全 事件 的 系统 调用 给 出 
相应 的 安全 检查 策略 ,加 入 相应 的 安全 检验 机 制 。 新 增加 一 些 系 统 调用 ,包括 审计 机 制 的 
相关 操作 .主体 安全 级 的 设置 和 读 取 ;客体 安全 级 的 设置 和 读 取 ;特权 相关 操作 等 。 

(3) 将 核心 程序 分 解 为 安全 有 关 和 与 安全 无 关 两 部 分 。 安 全 有 关 指 涉及 安全 事件 的 
系统 调用 的 执行 实体 ,可 把 在 系统 调用 层 不 易 实 现 的 少 部 分 安全 检查 放 在 这 些 核心 程序 
中 完成 。 另 外 ,新 增加 一 部 分 核心 程序 ,作为 安全 检验 和 新 增加 系统 调用 的 执行 体 。 


2 安全 体系 结构 设计 
安 胜 OS 开发 是 基于 Linux 资源 的 ,在 项 目的 第 一 个 阶段 ( 安 胜 OS V3.0) 的 实现 上 
采用 的 是 传统 系统 补丁 的 方式 。 鉴 于 LSM 


程 
进 


的 简单 灵活 性 及 对 多 安全 策略 的 有 效 支持 ， 客户 并 
在 项 目的 第 二 阶段 ( 安 胜 OS V4.0) 的 实现 | 客体 请 求 ! 安全 模块 
上 将 Flask 支持 动态 多 策略 的 优点 和 LSM [RN ”| 请求 Roek 避 到 实现 


的 模块 化 实现 方式 整合 为 一 ,设计 了 基于 
Flask 基本 思想 的 模块 化 的 安全 内 核 ,如 | | 各 咯 实施 | "到 定 2 
图 8-5 所 示 。 


安全 内 核 总 体 上 由 两 部 分 组 成 , 即 策略 
引擎 (Policy Engine) 和 策略 实施 (Policy 图 8-5 Flask 与 LSM 的 统一 模型 
Enforcement) ,策略 引擎 封装 在 安全 服务 器 
(以 安全 模块 形式 实现 ) 中 ,策略 实施 由 对 象 管理 器 具体 负责 。 对 象 管理 器 包括 安全 文件 
管理 器 ,安全 网 络 管理 器 ,安全 进程 管理 器 .审计 管理 器 等 。 各 个 对 象 管理 器 管理 功能 不 
同 的 hook 调用 ,这 些 hook 调用 截获 客户 端 发 起 的 对 核心 客体 的 访问 控制 请 求 ,并 将 它 
们 转交 给 安全 服务 器 。 系 统 中 的 hook 函数 大 体 分 为 两 种 , 即 请 求 与 判定 两 种 情况 : 

(1) 安全 信息 管理 ,如 确定 一 个 新 创建 的 主体 或 客体 采用 什么 安全 标签 ; 


策略 实施 ， 策略 引擎 
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(2) 确定 主体 是 否 能 对 客体 进行 某 项 操作 (如 文件 读 写 ) 。 

安全 服务 器 (安全 模块 ) 是 安全 内 核 的 子 系统 ,实现 对 安全 策略 的 封装 ,并 提供 通用 接 
口 。 这 样 ,就 可 以 通过 安全 服务 器 ,实现 一 种 混合 的 安全 性 策略 ,如 安 胜 OS V4 需要 的 多 
级 安全 及 机 密 性 策略 .完整 性 策略 和 最 小 特权 管理 策略 ,从 而 满足 GB 17859 一 1999 第 四 
级 的 安全 功能 要 求 , 同 时 又 可 以 方便 扩充 新 的 安全 策略 。 每 个 hook 函数 在 安全 服务 器 
中 具体 实现 ,通过 封装 的 安全 策略 规则 进行 判定 或 计算 ,然后 将 判定 的 结果 返回 给 对 象 管 
理 吕 。 

此 外 ,客体 管理 器 中 AVC 提供 了 从 安全 服务 器 得 到 的 存 取 判 定 结果 的 缓冲 ,用 来 最 
小 化 系统 安全 机 制 带 来 的 效率 影响 ;安全 服务 器 中 的 固定 标签 映像 提供 了 一 个 维持 安全 
上 下 文 与 固定 客体 ,如 文件 和 文件 系统 之 间 对 应 的 机 制 。 


3 开发 过 程 

在 项 目 两 个 阶段 中 , 安 胜 OS 的 安全 性 开发 经 过 以 下 三 个 步骤 。 

1) 建立 安全 体系 结构 和 安全 模型 

提出 新 型 的 支持 多 策略 的 ,由 ”策略 等 价 .策略 冲突 和 策略 协作 ?组 成 的 形式 化 安全 体 
系 结构 。 该 架构 基于 元 策略 ,可 以 实现 分 量 安全 模型 的 有 机 整合 ,并 具有 以 下 特点 : 

(1) 提出 一 种 新 型 的 冲突 分 解 关 系 ,推广 现 有 的 策略 冲突 和 矩阵 ; 

(2) 提出 冲突 类 之 间 协 作 的 新 概念 ,而 不 是 策略 之 间 的 协作 ,清晰 地 界定 冲突 分 解 与 
冲突 协作 的 不 同 ; 

(3) 可 以 处 理 吊销 策略 时 可 能 出 现 的 策略 冲突 与 策略 协作 关系 的 变化 。 为 精确 描述 
系统 功能 , 堵 住 安全 漏洞 ,建立 了 半 形 式 化 和 形式 化 安全 模型 ,并 将 安全 模型 与 安 胜 OS 
系统 进行 了 对 应 性 分 析 。 

2) 安全 机 制 的 设计 与 实现 

建立 了 安全 模型 之 后 ,要 选择 一 种 实现 该 模型 的 方法 。 结 合 Linux 特点 ,我 们 采取 改 
进 /增强 法 ,使 开发 安 胜 OS 系统 具有 最 佳 安全 /开发 代价 比 。 建 立 安全 模型 要 求 的 安全 
机 制 , 同 时 在 设计 了 部 分 安全 功能 之 后 , 便 检查 它 提供 的 安全 性 尺度 。 

3) 安全 操作 系统 的 可 信和 度 认证 

要 证 明 一 个 系统 的 安全 性 是 与 设计 密切 相关 的 ,必须 保证 从 设计 者 到 用 户 都 相信 设 
计 准 确 地 表达 了 模型 ,而 代码 准确 地 表达 了 设计 。 一 般 地 ,验证 操作 系统 安全 性 的 方法 有 
三 种 : 形式 化 验证 , 非 形 式 化 确认 和 和 侵 分 析 。 本 章 综 合 评估 了 安 胜 OS 系统 的 安全 性 。 


853 总 体 结构 

安 胜 OS 安全 操作 系统 的 总 体 结构 如 图 8-6 所 示 。 

1 标识 与 鉴别 (&A 

用 户 标 识 与 鉴别 机 制 用 于 保证 只 有 合法 用 户 才能 存 取 系统 中 的 资源 。 根 据 Linux 的 
特点 , 安 胜 V3.0 在 借助 原 有 用 户 管理 和 登录 的 基础 上 ,开发 完成 用 户 标识 与 鉴别 机 制 。 
它 不 仅 检查 用 户 的 登录 名 和 口令 ,赋予 用 户 唯一 标识 uid gid, 还 检查 用 户 的 安全 级 .计算 
特权 集 ,赋予 用 户 进 程 安全 级 和 特权 集 标 识 。 从 而 保证 只 有 合法 用 户 才 能 存 取 系 统 中 的 
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应 

用 可 信和 软件 

程 | 注册 程序 | 特权 用 户 程序 | | 密码 服务 机 制 |- | 一 和 用 户 程序 
i 


| 
| EE TE 
系统 调用 接口 
f i 
完整 性 强制 访问 控制 机 制 自主 访问 控制 机 制 
机 密 性 强制 访问 控制 机 制 


| 


最 小 特权 管理 机 制 | 


隐蔽 通道 处 理 机 各 


人 硬件 硬件 | 


标识 与 鉴别 
可 信 路 径 
客体 重用 机 制 


下 忆 邮 刺 


图 8-6 安 胜 OS 总 体 结构 图 


资源 , 且 以 系统 允许 的 安全 级 和 特权 集 登录 系统 。 用 户 标识 和 鉴别 机 制 还 具有 可 选 的 强 
身份 鉴别 功能 , 仅 当 用 户口 令 正确 ,并 且 用 户 身份 卡 正确 时 ,用 户 才 可 以 登录 系统 。 


2 自主 存 取 控制 (DAO) 

自主 存 取 控 制 机 制 用 于 按 用 户 意愿 进行 存 取 控制 。 安 胜 OS 实现 了 ACL 机 制 ,每 个 
文件 .目录 、IPC 客体 都 对 应 一 个 ACL ,使 安 胜 OS 的 9bit 位 保护 (owner/group/other) 和 
ACL 保护 表示 共存 于 系统 之 中 ,实现 了 对 粒度 达到 单个 用 户 的 自主 存 取 控制 。 

当 一 进程 访问 一 个 客体 时 , 若 客体 的 ACL 处 于 活跃 状态 , 则 将 进程 的 uid、gid 和 请 
求 访问 方式 mode 与 ACL 中 的 项 相 比 较 , 检 验 是 否 人 允许 进程 以 mode 方式 访问 该 客体 。 
若 客体 的 ACL 没有 处 于 活跃 状态 , 则 保持 Linux 系统 原 有 的 9 位 检验 模式 不 变 。 客 体 的 
属 主 和 拥有 相应 特权 的 用 户 可 对 一 个 客体 的 ACL 进行 授权 .取消 和 查阅 。 


3 强制 机 密 性 访问 控制 

强制 机 密 性 访问 控制 机 制 用 于 将 系统 中 的 信息 分 密级 和 类 进行 管理 。 安 胜 OS 实现 
的 机 制 对 系统 中 的 每 个 进程 .每 个 文件 .每 个 设备 、 每 个 IPC 客体 都 赋予 了 相应 的 安全 
级 。 当 一 个 进程 访问 一 个 客体 (如 文件 ) 时 ,依据 相应 的 强制 机 密 性 安全 规则 ,比较 进程 的 
安全 级 和 文件 的 安全 级 ,从 而 确定 是 否 允许 进程 对 文件 的 访问 。 

另外 通过 安全 级 设置 将 系统 信息 划分 三 个 区 : 系统 管理 区 、 用 户 空间 区 和 病毒 保护 
区 ,如 图 8-7 所 示 。 其 中 ,箭头 ?表示 安全 级 的 支配 关系 。 

系统 管理 区 包含 安全 机 制 信息 ,如 TCB 数据 .审计 日 志 等 ,它们 不 能 被 用 户 读 和 写 。 
用 户 空 间 区 包含 用 户 的 数据 和 应 用 ,用 户 可 以 进行 读 和 写 。 病 毒 保 护 区 包含 系统 的 命令 
和 配置 文件 ,可 被 用 户 区 进程 读 和 执行 ,但 不 能 写 和 修改 。 

系统 中 的 用 户 被 划分 为 两 类 : 不 具有 特权 的 普通 用 户 ,他 们 在 用 户 工作 区 中 登录 ; 具 
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图 8-7 安 胜 OS 的 域 间隔 离 性 


有 特权 的 系统 管理 员 ,他 们 在 系统 管理 区 中 登录 。 
这 样 , 安 胜 OS 的 域 间隔 离 机 制 有 力 地 提高 了 系统 的 安全 性 。 


4 强制 完整 性 访问 控制 

强制 完整 性 性 访问 控制 使 系统 中 的 域 和 每 一 个 正在 运行 的 进程 相关 联 , 型 和 每 一 
个 对 象 相 关联 。 如 果 一 个 域 不 能 以 某 种 访问 模式 访问 某 个 型 , 则 这 个 域 的 进程 不 能 以 
该 种 访问 模式 去 访问 那个 型 的 对 象 。 当 一 个 进程 试图 访问 一 个 文件 时 ,系统 的 内 核 在 
做 标准 的 许可 检查 之 前 , 先 做 相关 完整 性 许可 检查 。 如 果 当 前 域 拥有 被 访问 文件 所 属 
的 型 所 要 求 的 访问 权 , 那 么 这 个 访问 得 以 批准 ,继续 执行 正常 的 许可 检查 ;否则 访问 被 
拒绝 。 

系统 的 实例 策略 中 ,把 所 有 的 进程 分 为 6 个 域 : daemon_d 守护 进程 域 login_d 注册 
域 .user_d 普通 用 户 域 .operate_d 系统 操作 用 户 域 ,admin_d 管理 域 .audit_d 审计 域 ;所 
有 的 文件 和 对 象 被 分 类 到 27 种 型 ,如 base_t、bin_t、dev_t、conf_t、user_t、audit_t 等 ,并 进 
行 了 域 型 访问 表 DTT 和 域 访问 表 DDT 的 安全 文档 配置 。 


5 最 小 特权 管理 

在 “安全 标记 保护 级 ”的 安 胜 OS V3.0 中 ,最 小 特权 管理 的 思想 是 将 Linux 超级 用 
户 的 特权 划分 为 一 组 细 粒 度 的 特权 (32 个 ) ,分 别 授 给 不 同 的 系统 操作 员 / 管 理 员 ,使 各 
种 系统 管理 员 / 操 作 员 只 具有 完成 其 任务 所 需 的 特权 ,从 而 满足 最 小 特权 原理 。 安 胜 
OSV3.0 系统 初始 定义 了 四 个 角色 : 系统 安全 管理 员 (SSO) ;审计 员 (AUD) ;安全 操作 
员 (SOP) ;网 络 管理 员 (NET) ,分 别 负责 系统 安全 管理 .审计 操作 、 系 统 日 常 操 作 和 网 
络 管理 。 

在 安 胜 OS V4. 0 安全 操作 系统 中 实现 的 最 小 特权 机 制 是 一 种 基于 RBAC, 并 按照 
POSIX 标准 和 结合 DTE 机 制 ,在 角色 、 域 和 程序 文件 三 个 抽象 层次 上 实现 的 最 小 特权 管 
理 方 法 。 最 小 特权 管理 的 基本 思想 是 将 Linux 超级 用 户 的 特权 划分 为 更 细 粒 度 的 一 组 特 
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权 (57 个 ) ,分 别 授予 不 同 的 管理 员 角 色 、 域 和 程序 文件 ,使 各 种 管理 员 角 色 用 户 创建 或 调 
用 的 进程 只 具有 完成 其 任务 所 必需 的 特权 ,从 而 满足 最 小 特权 原理 。 实 现 方 法 是 : 登录 
时 为 当前 管理 用 户 指定 当前 承担 的 角色 ,该 角色 当前 允许 进入 的 域 , 用 户 进程 因此 获取 适 
当 的 管理 特权 ;程序 文件 或 者 命令 也 赋予 了 相应 的 特权 集 ,所 以 系统 中 运行 的 每 个 进程 将 
生成 一 个 有 效 特权 集 ,该 特权 集 决定 该 命令 能 否 执 行 某 特权 操作 或 特权 访问 。 安 胜 OS 
V4.0 初始 定义 了 4 个 角色 。 需 要 时 ,可 以 对 它们 进行 改变 和 增加 ,但 必须 考虑 这 些 改变 
和 增加 对 系统 安全 的 影响 。 这 4 个 角色 是 : 

Q@ 管理 员 (sec_r) : 其 职责 是 作出 安全 性 相关 的 系统 决策 ,进行 系统 的 维护 和 管理 。 
如 用 户 管理 ,安全 策略 配置 和 管理 等 。 

@ 审计 员 (adt_r) : 其 职责 是 安全 审计 系统 的 控制 和 管理 ,如 设置 审计 参数 ;修改 和 
删除 审计 系统 产生 的 原始 信息 (审计 信息 ) 等 。 

@ 操作 员 (sys_r): 其 职责 是 完成 日 常 的 例 行 活动 ,但 是 这 些 活动 是 安全 相关 的 ,如 
安装 和 拆 印 可 安装 介质 ; 例 行 的 备份 和 恢复 ;系统 重启 .关机 和 恢复 等 。 

@ 网 络 员 (net_r): 其 职责 是 网 络 通信 相关 的 管理 和 操作 ,如 设置 网 络 连接 ;启动 和 
停止 网 络 服务 等 。 此 外 ,系统 还 通过 域 隔离 保护 ,使 这 四 个 角色 进入 不 同 的 可 信 DTE 
域 一 管理 域 和 操作 域 来 承担 不 同 的 管理 职责 /操作 职责 。 

另外 ,在 两 个 安 胜 OS 中 都 有 两 种 特权 机 制 : 一 种 是 兼容 原 超 级 用 户 的 方式 , 称 为 
SUM 方式 ; 另 一 种 是 满足 安 胜 OS 设计 目标 的 方式 , 称 为 LPM 方式 。 两 种 机 制 可 以 互 
相 切 换 , 系 统 正常 运行 时 采用 LPM 方式 , 初 建 系统 时 采用 SUM 方式 。 


6 隐蔽 通道 处 理 

安全 操作 系统 中 ,进程 可 能 利用 某 些 非 常规 数据 客体 进行 绕 过 系统 强制 安全 策略 的 
通信 。 这 种 通信 通道 就 是 隐蔽 通道 。 设 计 实 现 安全 信息 系统 应 当 考 虑 到 这 些 隐 项 通道 ， 
防止 通过 隐蔽 通道 造成 对 系统 安全 性 的 危害 。 安 胜 OS 通过 自主 创新 的 “回溯 搜索 方 
法 ”, 对 系统 顶层 描述 规范 和 源 代码 进行 了 全 面 分 析 , 标 识 出 18 条 隐藏 存储 通道 (其 中 5 
条 国内 外 从 未 报道 过 ) ,并 构造 了 每 条 隐 滴 通道 的 使 用 场景 ,工程 估算 和 实测 出 每 条 隐 培 
通道 的 最 大 可 达 带 宽 。 采 用 修改 系统 调用 返回 值 .加 入 随机 化 噪声 ,加 入 延迟 和 审计 等 措 
施 分 别处 理 了 每 个 已 标识 通道 。 测 试 结果 表明 ,通过 采用 这 些 处 理 措施 ,可 以 达到 预定 的 
监控 目标 。 


7. 密码 服务 

密码 服务 子 系统 是 将 自主 设计 和 通过 国家 主管 部 门 批准 的 密码 算法 (QC 算法 ) 嵌 入 
安 胜 OS 之 中 ,实现 对 文件 和 目录 的 加 密 , 并 提供 标准 的 API 接口 供用 户 使 用 。 安 胜 
OS V4. 0 另外 还 支持 由 国家 密码 管理 部 门 批准 的 加 密 卡 ,并 基于 密码 技术 实现 以 下 安全 
增强 功能 : 

(1) 实现 了 基于 IC 卡 的 强身 份 认证 。 

用 户 登 录 时 检查 口令 ,并 基于 IC 卡 进行 强身 份 认 证 ,实现 了 双 因素 认证 功能 。 

(2) 实现 了 加 密 文 件 机 制 ,可 以 对 指定 文件 系统 实施 透明 的 加 解密 操作 。 

安 胜 OS V4.0 利用 绕 回 设备 技术 实现 加 密 文件 系统 ,可 对 文件 .目录 、 块 设备 实施 透 
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明 的 加 解密 。 加 解密 过 程 在 核心 层 执行 ;由 于 采用 硬件 加 密 卡 ,提高 了 加 密 的 效率 和 安 
全 性 。 

8 安全 审计 

安全 审计 是 对 系统 中 所 有 安全 相关 事件 的 记录 、 检 查 及 审查 的 过 程 。 安 胜 OS 的 审 
计 事 件 有 86 种 ,主要 包括 : 

(1) 登录 情况 (标识 与 鉴别 机 制 的 使 用 ) ; 

(2) 将 客体 引入 、 删 除 用 户 空间 及 对 指定 客体 的 访问 ; 

(3) 特权 操作 。 

安 胜 OS 的 审计 过 程 包括 系统 初 启 时 创建 审计 进程 ;在 与 系统 安全 操作 相关 的 函数 
中 设置 采样 点 ,收集 这 些 操作 事件 的 审计 信息 ;在 采样 点 调用 审计 进程 将 审计 信息 记录 、 
转 储 和 归档 。 审 计 采 样 点 分 别 分 布 在 系统 调用 的 总 出 入 口 处 和 各 特权 命令 中 。 在 用 户 界 
面 上 , 则 建立 相应 的 操作 命令 ,灵活 地 开启 /关闭 审计 机 制 、 选 择 和 设置 审计 事件 .查询 和 
检索 审计 日 志 、 创 建 守 时 进程 定期 自动 清除 审计 日 志 等 。 安 胜 OS V4.0 增加 了 对 隐蔽 通 
道 事件 的 审计 。 


9 可 信 通 路 

为 使 用 户 确保 与 其 对 话 的 是 真正 的 操作 系统 ,而 不 是 窃取 用 户口 令 和 信息 的 特洛伊 
木马 , 安 胜 OS 提供 了 可 信 通 路 机 制 , 即 在 系统 I/O 中 开发 相应 机 制 ,识别 来 自 键盘 的 可 
信 通 路 请 求 。 可 信 通 路 请 求 由 一 组 特别 键 组 成 , 称 为 安全 注意 键 (SAK)。 一 旦 可 信 通 路 
机 制 识 别 出 SAK, 便 立即 杀 死 与 该 终端 相关 的 进程 ,并 为 该 终端 启动 一 个 真实 的 登录 
序列 。 


10 网 络 安全 

安 胜 OS 的 实施 范围 从 单个 主机 扩大 到 了 由 TCP/IP 连接 起 来 的 多 个 异 构 主机 。 
每 个 连 和 人 Internet 的 设备 都 有 一 个 安全 级 ,设备 上 所 存储 和 处 理 的 信息 也 有 相应 的 
安全 级 。 一 个 局 域 网 上 的 所 有 信息 安全 级 可 能 相同 ,也 可 能 不 同 。 网 内 用 户 也 有 各 
自 的 安全 级 ,使 其 仅 能 访问 与 其 安全 级 相当 或 低 于 其 安全 级 的 信息 。 网 络 连接 也 被 
赋予 安全 级 ,需要 网 络 连接 的 程序 可 根据 网 络 会 话 的 安全 属性 来 决定 其 行为 。 具 体 
实现 是 : 

(1) 当 客 户 端 与 服务 器 会 话 连 接 时 ,客户 端的 安全 级 要 在 服务 器 允许 连接 的 安全 级 
范围 之 内 。 当 客户 端 与 服务 器 会 话 连 接 后 ,创建 的 服务 器 子 进程 的 安全 级 等 于 客户 端的 
安全 级 或 该 客户 端 缺 省 安全 级 。 

(2) 当 客 户 端 与 服务 器 会 话 连接 时 ,客户 端的 安全 级 要 在 所 用 物理 设备 (网 卡 ) 人 允许 
连接 的 安全 级 范围 之 内 。 系 统 在 服务 器 端 对 网 络 接口 设备 设置 了 安全 级 范围 ,如 果 客 户 
端 网 络 连接 请 求 的 安全 级 超出 了 该 网 络 接口 设备 的 安全 级 ,连接 将 被 拒绝 。 

(3) 当 客 户 端 与 服务 器 会 话 连接 时 ,要 由 该 服务 器 访问 控制 矩阵 相应 项 允许 。 
(4) 当 客 户 端 在 IP 包 中 设置 了 安全 级 ,而 服务 器 运行 在 一 个 公开 的 系统 上 ,服务 器 
1 于 没有 相应 的 安全 检查 机 制 , 则 忽略 客户 端 传 来 IP 包 中 的 安全 级 ,正常 连接 ,就 像 客户 
端 没有 设置 安全 级 一 样 。 
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另外 ,通过 IPsec 的 AH 机 制 保证 了 网 络 环境 下 数据 传输 的 完整 性 。 


854 关键 技术 


1. MBLP 安 全 模型 设计 

安 胜 OS V3.0 在 进行 安全 性 设计 时 ,首先 进行 了 安全 模型 的 设计 。 其 安全 模型 是 在 
分 析 BLP 等 经 典 计算 机 安全 模型 的 基础 上 ,结合 系统 的 安全 策略 ,基于 人 
改 而 成 , 记 为 MBLP(Modified BLP) 。 本 节 除 非特 别 指出 ,有 关 各 个 符号 的 含义 参见 第 4 
章 BLP 模型 中 的 相关 定义 。 

1) MBLP 模型 定义 

定义 8-5.1 DD 为 域 函数 , 它 将 S 中 的 主体 或 O 中 的 客体 映射 到 相应 的 域 中 。 对 于 
主体 ,D 的 定义 域 是 S, 值 域 是 {Su,St) ,其 中 ,Su 表示 普通 用 户 域 或 非特 权 域 ,代表 系统 
一 般 用 户 的 操作 ,St 表示 可 信用 户 域 或 特权 域 ,代表 系统 所 有 的 特权 操作 。 对 于 客体 ， 
DD 的 定义 域 是 0O, 值 域 是 {Ou,Os,Ov}) ,其 中 ,Ou 代表 用 户 空间 域 ,Os 代表 系统 空间 域 ， 
Ov 代表 病毒 保护 域 。 

定义 8-5.2 PP 为 特权 映射 函数 , 它 将 St 映射 到 不 同 的 项 中 。P 的 定义 域 为 St, 值 域 
为 {pi ,pz spss pa yb) ,其 中 St=piUpzUpsUpsU…Up,。 

定义 8-5.3 尺 为 角色 映射 函数 , 它 将 {pi ,pz ,ps,p，…,pr,} 映 射 到 不 同 的 集合 中 。R 
的 定义 域 为 {pi ,pz ,ps,ps，…,p,}, 值 域 为 {Pi ,P,Ps,…,P。)。 其 中 ,P;={pj|11<j<n)， 
1 三 i 过 m,P; 又 称 为 角色 i。 

2) MBLP 模型 公理 

(1) 域 间 隔离 性 : 

主体 只 能 访问 相应 客体 域 中 的 客体 。 即 状态 v=(5,M.,f, 五 ) 满 足 域 间 隔离 性 ,iff 对 
所 有 (5s,o,Z)ED 

Q@zr=a 或 +==w, 且 0o€ Ou,sESu, 或 

©@ r=r, 且 0o€ OuU Ov,sE Su, 或 

z=a 或 +==w, 且 0o€Os,sE St, 或 

@ z=r, 且 0o€OsUOv,sE St, 或 

@@ zx=a 或 + 二 w, 且 0€ Ov,sE€ Pn,n 为 一 特定 值 ; 

r=a 或 + 二 w, 且 0€ Ou,s€EPm,m 为 一 特定 值 。 

(2) 简单 安全 公理 : 

当 一 主体 读 访问 一 客体 时 ,主体 的 安全 级 必须 大 于 或 等 于 客体 的 安全 级 ,或 主体 拥有 
指定 特权 。 即 状态 v= 二 (5,M,f, 旦 ) 满 足 简单 安全 公理 ,if 对 所 有 (s,0,zx) Eb 

Q@ zr 二 a 或 z+=e; 

@ r= 二 ww 或 + 二 =r, 且 fs(s) 之 fo(o) 或 ;EPn,n 为 一 特定 值 。 

(3) x* 特性 公理 : 

状态 v 一 (0,M, 太 , 瑟 ) 满 足 * 特征 公理 ,iff 对 所 有 (s,0,z)E6b,sE {SuU St} 
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@ rw 或 + 二 a, 且 fo(o) 二 fs(s) ,或 ;EPn,n 为 一 特定 值 ; 

@ r=r, 且 fo(o) 达 fs(s) 或 ;EPn,n 为 一 特定 值 。 

(4) 自主 安全 公理 : 

状态 v==(5,M,f, 昌 ) 满 足 自主 安全 公理 ,if 对 所 有 (si;,0; ,Xx) Eb,XTEms。 

(5) 兼容 性 公理 

客体 层次 结构 互 保持 兼容 性 ,if 对 Voi,oEO, 且 oE 互 (oj), 有 fo(o) 三 fo(o) 。 

(6) 激活 性 公理 : 

用 于 约束 五 中 客体 的 创建 与 删除 。 

@ 已 删除 客体 的 不 可 存 取 性 , 即 对 所 有 已 被 删除 客体 oEO, 有 (so,x* )&B。 

@ 新 创建 客体 的 重 写 性 , 即 一 个 新 创建 的 客体 被 赋予 一 个 与 其 以 前 任何 活动 状态 无 
关 的 初始 状态 。 

@ 新 创建 客体 的 安全 级 ,对 于 每 个 被 主体 ; 创建 的 客体 o, 有 fo(o) 王 fs(Cs) 。 

@ 客体 删除 规则 ,对 于 每 个 被 主体 s 删除 的 客体 o, 有 fo(o0)==fs(s)。 

3) MBLP 模型 的 主要 推论 

推论 8-5.1 在 MBLP 模型 中 ,对 于 普通 用 户 域 的 主体 Su,BLP 模型 的 基本 安全 定 
理 仍然 成 立 。 

推论 8-5.2 在 MBLP 模型 中 ,对 于 可 信用 户 域 的 主体 St, 满 足 二 人 原则 (Double 
control) 。 

推论 8-5.3 MBLP 模型 可 有 效 地 实现 应 用 型 病毒 防护 。 

推论 8-5.4 MBLP 模型 可 有 效 地 限制 隐蔽 通道 。 

4) MBLP 模型 在 安 胜 V3.0 中 的 对 应 

MBLP 安全 模型 建立 后 ,就 要 进行 模型 与 Linux 系统 的 对 应 性 分 析 , 然 后 考虑 如 何 
将 MBLP 模型 用 于 安 胜 V3. 0 的 安全 性 开发 之 中 ,并 且说 明 所 建 模型 与 安全 策略 是 一 致 
的 。 由 于 MBLP 模型 与 安 胜 V3. 0 安全 策略 的 一 致 性 是 明显 的 ,下 面 着 重 给 出 MBLP 模 
型 的 主要 内 容 , 包 括 系 统 状态 .状态 转换 .安全 初始 状态 定义 以 及 安全 公理 系统 在 安 胜 
V3.0 中 的 对 应 。 

(1) MBLP 模型 的 系统 状态 在 安 胜 V3. 0 中 的 对 应 。 

系统 状态 是 集合 V==(BXMXFX 瑟 ) 中 的 元 素 。 

在 安 胜 V3.0 中 进程 是 唯一 的 主体 , 它 可 以 在 用 户 登录 时 创建 ,被 系统 初 启 时 创 
建 或 被 其 他 进程 创建 。 一 个 进程 被 赋予 一 个 唯一 的 进程 标识 符 (pid) .用 户 标识 符 
Cuid) 和 用 户 组 标识 符 (gid) 。 每 个 进程 还 被 赋予 相应 的 安全 级 标识 ,用 于 强制 存 取 
控制 检查 。 

在 安 胜 V3.0 中 ,客体 包括 文件 .目录 、 特 别 文件 .共享 内 存 、 消 息 、 信 号 量 流 、 管 道 、 
进程 等 。 

MBLP 的 访问 权限 集 同 BLP 一 样 ,由 e( 执 行 ).r( 读 ) .a( 追 加 写 )、.w( 写 ) 和-( 空 ) 组 
成 , 安 胜 V3.0 的 访问 权限 集 则 由 读 (r) 、 写 (w) ,执行 (x) 和 空 (-) 组 成 ,但 它们 对 不 同 的 客 
体 有 不 同 的 解释 ,具体 如 表 8-1 所 示 。 
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表 8-1 安 胜 V3.0 的 访问 权限 集 


MBLP 模型 交 件 目录 管道 IPC 机 制 进程 
= 三 三 三 三 
r r x r r r 
re x 一 一 一 一 
i = 
w rw w rw rw w 


安 胜 V3.0 的 当前 访问 集 B 是 SxOXA 的 子 集 ,对 于 文件 .目录 ,特别 文件 .管道 等 
具有 文件 系统 的 数据 结构 表示 的 客体 ,B 由 每 个 进程 打开 文件 的 文件 描述 符 及 其 对 应 的 
访问 权限 表示 。 这 些 文件 描述 符 存 放 在 进程 task 结构 中 ,其 中 的 每 个 文件 描述 符 指向 文 
件 表 中 的 一 项 ,记录 了 该 进程 对 某 客体 具有 的 访问 权限 。 对 于 IPC 机 制 的 客体 ,B 由 每 
种 类 型 客体 的 数据 结构 表示 。 进 程 获取 的 每 个 描述 符 指向 一 类 客体 的 索引 项 ,其 中 的 ipe 
_perm 项 记录 着 该 进程 对 该 客体 具有 的 访问 权限 。 

安 胜 V3.0 的 存 取 控制 矩阵 M, 由 Linux 的 9 位 保护 模式 (owner/group/other) 和 
ACL(Access Control List) 共 同 组 成 。 

安 胜 V3.0 的 安全 级 函数 下 由 两 部 分 组 成 ,一 个 是 每 个 进程 被 赋予 的 一 个 当前 安全 
级 ,一 个 是 每 个 客体 被 赋予 的 一 个 确定 的 安全 级 。 安 全 级 由 级 别 和 类 别 两 部 分 组 成 ,如 
“机 密 ,{ 人 事 , 财 务 }”。 

安 胜 V3.0 中 具有 文件 系统 表示 的 客体 结构 H 是 由 目录 表示 的 。 具 有 文件 系统 表 
示 的 客体 类 型 有 文件 ,特别 文件 ,有 名 管道 和 目录 。 文 件 . 特 别 文件 和 有 名 管道 的 安全 级 
等 于 其 创建 进程 的 安全 级 , 且 等 于 包含 它们 的 父 目录 的 安全 级 ,目录 的 安全 级 也 等 于 其 创 
建 进程 的 安全 级 , 且 大 于 或 等 于 包含 它 的 父 目录 的 安全 级 ,维持 了 目录 结构 的 “不 降级 ”。 

(2) MBLP 模型 的 状态 转换 在 安 胜 V3.0 中 的 对 应 。 

安 胜 V3.0 的 状态 转换 是 由 内 核 调用 及 其 返回 值 定义 的 ,这 里 对 应 于 MBLP 模型 规 
则 集中 o: RXV 一 DXV 中 的 任 一 规则 p; 有: 

Qa 任意 请 求 Ri ER 表示 一 个 指定 的 系统 调用 或 可 信和 进程 调用 。R 为 所 有 系统 调用 
和 可 信 进 程 调用 的 集合 ,Ri 的 输入 参数 来 自 当前 系统 状态 V。 

@ 任 一 判定 D,, ED 二 {Yes,No,?,Error) 由 一 个 系统 调用 或 可 信 进 程 调用 的 返回 值 
表示 。 

@ 无 论 何 时 , 若 D, 和 关 No.D, 天 ?、D, 天 Error,Re 输出 一 个 新 状态 v" , 它 将 包含 新 的 
客体 和 一 个 新 的 客体 结构 ,当然 也 可 以 从 以 前 状态 中 排除 某 些 客体 和 访问 权限 等 。 

@ 规则 po 保持 了 系统 的 安全 状态 , 即 当 wv 是 安全 状态 时 , 则 v” 是 安全 状态 。MBLP 
模型 的 安全 公理 系统 及 其 操作 规则 保证 了 这 一 性 质 。 

(3) MBLP 模型 的 安全 公理 系统 在 安 胜 V3.0 中 的 对 应 。 

Q@ 安 胜 V3.0 的 域 间隔 离 性 : 安 胜 V3.0 安全 操作 系统 用 安全 级 将 系统 信息 划分 为 
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三 个 区 , 即 系统 管理 区 .用 户 空 间 区 ,病毒 保护 区 。 

这 样 的 访问 隔离 机 制 将 进入 系统 的 用 户 划 分 为 两 类 : 不 具有 特权 的 普通 用 户 , 他 们 
在 用 户 空 间 区 中 的 安全 级 (如 USER_LOGIN 或 USER_PUBLIC) 下 登录 。 系 统管 理 员 
在 系统 管理 区 中 的 安全 级 (如 SYS_AUDIT .SYS_OPERATOR1 .SYS_OPERATOR2 或 
SYS_PRIVATE) 下 登录 。 

@ 强制 存 取 控制 (Mandatory Access Control,MAC) 规 则 : 若 主体 读 (r) 或 执行 (x) 访 
问 客体 ,主体 的 安全 级 必须 支配 客体 的 安全 级 ,或 主体 拥有 CAP_MACREAD 特权 (超越 
MAC 读 限 制 , 拥 有 该 特权 可 以 超越 强制 存 取 控 制 读 检查 ) , 记 为 R1。 若 主体 写 (w) 访 问 
客体 ,主体 的 安全 级 必须 等 于 客体 的 安全 级 ,或 主体 拥有 CAP_MACWRITE 特权 , 记 
为 R2。 

@ 自主 存 取 控 制 (Discretionary Access Control, DAC) 规 则 : 若 进程 以 过 权限 访问 客 
体 ,z 须 在 客体 的 相应 ACL 项 中 , 即 zi , 记 为 R3。 

@ 特权 管理 (Privileged Access Control, PAC) 规 则 : 车 主体 写 (w) 访 问 客体 的 ACL， 
主体 的 安全 级 必须 等 于 客体 的 安全 级 或 主体 拥有 CAP_MACWRITE 特权 (超越 MAC 写 
限制 ,拥有 该 特权 可 以 超越 强制 存 取 控 制 写 检查 ), 且 主体 须 与 客体 属 主 的 用 户 标 识 符 相 
匹配 或 主体 拥有 CAP_OWNER 特权 (该 特权 可 以 超越 限制 文件 主 ID 必须 等 于 用 户 ID 
的 场合 ,如 改变 有 效用 户 标识 符 所 属 的 文件 属性 ) , 记 为 R4。 若 主体 写 (w) 访 问 客体 的 安 
全 级 ,主体 的 安全 级 必须 等 于 客体 的 安全 级 或 主体 拥有 CAP_MACWRITE 特权 , 且 主 体 
必须 拥有 CAP_SETLEVEL 特权 (拥有 该 特权 可 以 改变 进程 安全 级 ,包括 当前 进程 本 身 
的 安全 级 ) , 记 为 R5。 若 主体 执行 特权 操作 时 ,主体 的 当前 特权 集 必须 拥有 相应 的 特权 ， 
记 为 R6。 

@ 兼容 性 规则 : 若 主体 创建 文件 类 型 的 客体 时 ,客体 的 安全 级 必须 等 于 其 所 在 父 目 
录 的 安全 级 , 记 为 R7。 若 主体 创建 目录 类 型 的 客体 时 ,客体 的 安全 级 必须 支配 其 所 在 父 
目录 的 安全 级 , 记 为 R8。 

@ 激活 性 规则 : 若 主体 创建 客体 时 ,新 客体 的 安全 级 必须 等 于 主体 的 安全 级 , 记 为 
R9。 若 主体 删除 客体 时 ,主体 的 安全 级 必须 等 于 客体 的 安全 级 或 拥有 CAP - 
MACWRITE 特权 , 且 在 客体 的 ACL 中 ,主体 对 客体 和 客体 所 在 的 目录 拥有 写 权限 , 记 为 
R10。 删 除 一 个 客体 时 ,其 敏感 信息 ,包括 ACL .安全 级 ,特权 集 等 均 在 客体 删除 之 前 删 
除 , 记 为 R11。 若 主体 搜索 (x) 一 路 径 名 ,主体 的 安全 级 必须 支配 路 径 名 中 每 一 个 目录 分 
量 的 安全 级 , 记 为 R12。 若 主体 将 一 目录 下 的 文件 或 目录 列表 (r) 时 ,主体 的 安全 级 必须 
支配 文件 或 目录 的 安全 级 , 记 为 R13。 

5) 安 胜 V3.0 的 安全 初始 态 

安 胜 V3.0 的 安全 初始 态 由 一 个 安全 初始 化 过 程 设置 .包括 以 下 四 个 步骤 : 

(1) 系统 的 构造 和 生成 ,包括 审计 机 制 .MAC 机 制 .DAC 机 制 和 PAC 机 制 的 安装 和 
初始 化 ; 

(2) 系统 中 用 户 安全 文件 的 定义 , 即 根据 安全 策略 给 系统 中 每 个 用 户 赋 予 相 应 的 安 
全 级 库 、 角 色 划 分 ; 

(3) 系统 中 客体 初始 安全 级 设置 . 即 系统 用 户 空间 区 、 系 统管 理 区 .病毒 防护 区 等 的 
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种 


划分 及 建立 ; 
(4) 系统 正常 启动 。 


2 多 策略 安全 模型 

设计 安 胜 OS V4. 0 的 安全 模型 时 ,考虑 到 仅 使 用 单 策 略 是 很 难 满足 完整 性 、 机 密 性 
和 极 小 特权 管理 三 方面 的 安全 需求 ,采用 了 多 策略 模型 , 它 包括 以 下 三 个 分 量 策略 模型 : 

1) 多 级 机 密 性 安全 模型 (DMLR_MLS) 

(1) 提出 了 主客 体 之 间 访 问 的 单 级 特性 和 多 级 特性 , 单 级 特性 即 主体 对 客体 的 访问 
仅 由 该 客体 的 安全 标签 范围 内 的 一 个 安全 级 确定 。 多 级 特性 即 主体 对 客体 的 访问 由 该 客 
体 的 整个 安全 标签 范围 确定 。 

(2) 提出 了 主体 和 客体 的 安全 级 范围 的 概念 ,并 据 此 提出 主客 体 之 间 的 动态 调节 
规则 。 

(3) 在 多 级 主体 和 多 级 客体 的 基础 上 提出 了 具有 多 级 属性 的 操作 和 具有 单 级 属性 的 
操作 ,并 提出 了 新 的 安全 不 变量 。 

(4) 形式 地 定义 了 可 信 主 体 ,提出 可 信 主 体 的 安全 级 从 任何 状态 出 发 ,访问 具有 单 级 
属性 还 是 多 级 属性 ,在 策略 执行 中 除了 对 安全 级 进行 管理 调节 外 始终 保持 不 变 。 使 可 信 
主体 是 真正 的 部 分 可 信 ,为 形式 验证 黄 定 基础 。 

此 外 ,本 模型 通过 对 进程 的 控制 实现 了 对 IPC 对 象 的 控制 ,并 基于 以 上 新 的 概念 和 
不 变量 对 BLP 模型 的 最 重要 公理 * * ”性 质 做 出 了 相应 的 重大 改进 。 

2) 完整 性 保护 模型 (DTE_IPM) 

DTE_IPM 基于 DTE 策略 ,使 域 和 每 一 个 运行 进程 相关 联 , 型 和 每 一 个 对 象 (e. g. 文 
件 , 包 ) 相 关联 ,并 结合 Clark-Wilson 模型 的 良 构 事务 概念 ,定义 了 新 的 模型 变量 与 模型 
不 变量 ,并 提出 了 配置 域 .类 型 及 良 构 事务 的 基本 原则 ,以 及 几 个 重要 的 概念 : 

。 不 可 控制 关系 ; 

。 可 信 管 道 与 良 构 事务 的 分 配 关 系 ; 

。 可 信 管 道 与 角色 的 分 配 关 系 。 

这 个 完整 性 保护 模型 把 Clark-Wilson 模型 的 良 构 事 务 与 DTE 域 隔离 技术 有 机 地 结 
合 起 来 ,从 约 化 风险 的 角度 强化 了 Clark-Wilson 模型 。 

3) 最 小 特权 控制 模型 (PCM_RBPC) 

本 模型 基于 POSIX 权能 机 制 将 系统 的 特权 细 分 成 一 组 细 粒 度 的 权能 , 即 超级 用 户 
root 的 特权 P 二 {pi1,ps ,ps,ps，… ,ps) ,这些 权 能 分 别 组 成 若干 个 特权 子 集 , 并 据 此 定义 
角色 权能 和 域 权 能 概念 ,以 及 进程 和 可 执行 文件 的 权能 状态 ,指出 每 个 特权 操作 必须 由 拥 
有 相应 特权 的 用 户 或 进程 完成 ,提出 安全 内 核对 特权 操作 进行 对 应 的 特权 检查 ,本 模型 的 
主要 特点 是 : 

。 提出 了 管理 层 ( 如 用 户 ) .功能 控制 层 ( 如 域 ) 和 应 用 层 ( 如 程序 ) 的 层次 控制 原则 ; 

。 引 入 了 新 的 权能 公式 ,由 于 引入 了 角色 的 执行 域 ,使 公式 中 权能 的 变化 更 能 反映 

POSIX 的 分 析 ,新 的 权能 公式 如 下 
大 三 因 太 下 //T,, 卫 运算 前 后 进程 的 可 继承 权能 集 ,Tj 程序 可 继承 权能 集 
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Pi 二 (PyV (APo))ABrABd//Pu,Pi 运算 前 后 进程 的 许可 权能 集 ,Py 程序 许 
// 可 权能 集 ,Br,Bd 分 别 为 进程 当前 角色 和 域 的 


// 许 可 权能 集 
E=P.ME, //E 运算 后 进程 的 有 效 权能 集 ,Ej 程序 有 效 权能 集 


。 提出 了 反映 RBAC 与 DTE 结合 的 新 的 不 变量 ; 

。 模 型 吸收 了 RBAC 的 所 有 特点 ,有 助 于 实现 对 应 用 系统 与 对 内 核 控制 的 一 体 化 ; 

。 把 权能 引入 模型 ， 使 权能 的 变化 由 模型 的 变 量 反 映 , 并 提出 反映 RBAC、DTE 与 
POSIX. le 的 不 变量 。 


3. 多 级 分 层 文件 系统 

一 般 的 树 状 结构 文件 系统 不 易 实 现 多 级 安全 强制 存 取 控 制 (MAC) ,也 不 易 限 制 隐蔽 
存储 通道 。 因 此 安 胜 OS 设计 了 一 种 多 级 分 层 文件 系统 。 在 该 文件 系统 中 建立 一 个 文件 
时 ,其 安全 级 必须 和 所 在 目录 相等 ;建立 一 个 子 目 录 时 ,其 安全 级 必须 不 低 于 父 目 录 。 用 
这 种 方法 生成 的 文件 树 , 越 往 树 叶 方向 安全 级 就 越 高 或 者 不 变 。 可 信 计 算 基 (CTCB) 按 照 
严格 的 规则 给 用 户 和 文件 设置 安全 级 ,用 户 安全 级 不 能 被 用 户 或 他 们 的 程序 修改 。 系 统 
使 用 这 些 安全 属性 判定 某 个 用 户 是 否 可 以 存 取 一 个 文件 ,如 果 用 户 安全 属性 不 能 存 取 该 
文件 ,那么 即使 文件 的 拥有 者 也 不 能 存 取 这 个 文件 。 

1) 多 级 分 层 文件 系统 的 存 取 控制 策略 

多 级 分 层 文件 系统 的 存 取 控制 策略 在 文件 系统 的 每 个 系统 调用 中 实现 , 即 在 
open() .creat() .read() .write() .mkdir() ,rmdir() link() .unlink() 、stat() rename() 等 


系统 调用 中 分 别 加 入 相应 的 存 取 控制 策略 ,如 表 8-2 所 示 。 
表 8-2 多 级 分 层 文件 系统 的 存 取 控 制 策略 


系统 调用 存 取 控 制 策略 备 注 
open(char x name, int flags, mode_t| RI2、 R9、 R2、| 具体 控制 策略 随 存 取 模式 和 文件 是 否 
mode) R7 、R1 存在 而 不 同 
creat(char * name, mode_t mode) R12\R9\R2\.R7 ee cg B34 进 生 


在 open() ,creat() 中 已 做 了 相应 的 安 
全 检查 ,可 以 保证 “支配 读 ” 
在 open()、creat() 中 已 做 了 相应 的 安 
全 检查 ,可 以 保证 “相等 写 ” 


read(int fd,void * buf,size_t count) 无 


write(int fd,void * buf,size_t count) 无 


link(char * oldpath,char * newpath) 了 R12、R10 、R9 、R7 


name 安全 级 要 支配 主体 的 安全 级 ,以 


unlink(char * name) R12、R10 避免 隐蔽 通道 
execve(char * name, char * argv[ ],char R12.R1 

x envp[ ]) 

chdir(char * path) R12\R1 

fchdir(int fd) R1 
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续 表 
系统 调用 存 取 控制 策略 备 注 

chmod(char * name,mode_t mode) R12\R2 主体 必须 是 客体 属 主 或 有 OWNER 
特权 

fchmod(int fd, mode_t mode) R2 主体 必须 是 客体 属 主 或 有 OWNER 
特权 

chown(char * path, uid_t owner, gid_t 主体 必须 是 客体 属 主 或 有 OWNER 

了 R12 、R2 

group) 特权 

stat(chat * name,struct statbuf) R12.R1 

fstat(int filedes, struct stat * buf) R1 


在 open() ,creat() 中 已 做 了 相应 的 安 
全 检查 ,可 以 保证 “支配 读 、 相 等 写 ” 


access(char * fname,mode_t fmode) R12 RI R2 具体 控制 策略 随 fmode 而 不 同 


lseek(int fildes ,off_t offset,int whence) | 无 


rename(char * oldpath,char * newpath) 了 12 、R7 


mkdir(char * name,mode_t mode) R12、R8 、R2 当 要 创建 的 目录 存在 时 ,用 R2 进行 隐 


项 通道 检查 
rmdir(char * name) R12.R2 
readdir( uint fd, struct dirent * dirp, uint R13 
count) 
其 他 


由 于 系统 调用 是 用 户 程序 进入 内 核 , 存 取 系 统 资 源 的 唯一 入口 ,对 文件 系统 的 每 个 系 
统 调 用 都 进行 存 取 控 制 检 查 ,就 等 于 控制 了 用 户 对 文件 的 存 取 , 并 且 这 些 检查 处 于 核心 
态 ,是 完全 与 用 户 隔离 的 , 即 安 全 内 核对 用 户 的 访问 请 求 进行 的 存 取 控 制 判定 ,是 不 受用 
户 干扰 的 。 这 就 使 得 多 级 分 层 文 件 系 统 的 安全 存 取 控 制 机 制 是 完备 的 、 不 可 绕 过 的 。 

用 户 发 出 的 文件 访问 请 求 必 将 涉及 一 个 或 多 个 系统 调用 。 在 每 个 系统 调用 中 ,安全 
内 核 将 根据 设 定 的 存 取 控制 策略 进行 安全 检查 ,决定 是 否 允许 进行 这 个 系统 调用 。 例 如 
对 于 系统 调用 open() ,调用 nami() 函 数 通 过 路 径 名 取得 文件 inode, 同 时 也 取出 该 inode 
对 应 的 安全 级 信息 ,以 及 用 户主 的 uid、gid 等 ,然后 根据 R12、R9、R2、R7、R1 进行 存 取 控 
制 策略 判定 。 

2) 多 级 目录 

根据 存 取 控制 策略 R7 ,多 级 分 层 文件 系统 不 允许 具有 不 同安 全 级 的 用 户 , 在 同一 目 
录 下 创建 不 同安 全 级 的 文件 。 虽 然 系统 中 具有 不 同安 全 级 的 用 户 有 时 运行 程序 vi\cc 
等 ,就 需要 在 同一 标准 目录 如 /tmp、/var/tmp、/usr/tmp 等 下 创建 不 同安 全 级 的 临时 文 
件 ,但 是 如 果 允 许 在 同一 目录 下 创建 不 同安 全 级 的 文件 ,就 会 破坏 存 取 控制 策略 的 限制 或 
者 要 求 这 些 程序 都 是 可 信 的 ,并 会 产生 隐蔽 通道 。 这 是 不 可 接受 的 ,因此 多 级 分 层 文 件 系 
统 引 入 了 多 级 目录 的 概念 。 

(1) 多 级 目录 的 结构 。 多 级 目录 含有 一 些 特殊 的 子 目 录 , 称 为 有 效 目 录 (Eff. Dir) 。 
有 效 目 录 是 当 某 个 进程 第 一 次 访问 多 级 目录 时 由 安全 内 核 自动 创建 的 ,对 用 户 来 讲 是 透 
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明 的 。 有 效 目 录 名 即 与 该 进程 相关 的 安全 级 标识 (Level)。 如 图 8-8 所 示 ,/tmp 为 一 个 
多 级 目录 。 

与 各个 进程 有 关 的 居 进 程 的 几 及 目录 状态 
它 决 定 对 多 级 目录 的 访问 方式 。 这 个 状态 有 两 
种 不 同形 式 :“ 实 状态 ”(real mode) 和“ 虚 状态 ” 
(virtual mode) 。 

(2)“ 虚 状态 ”下 多 级 目录 访问 。 如 果 进 程 
的 多 级 目录 状态 为 “ 虚 状 态 ”, 那 么 内 核 将 把 对 多 
dn eign et dt 
效 目录 的 访问 。 这 个 有 效 目录 的 名 字 和 安全 级 与 进程 安全 级 相对 应 。 如 果 当 前 多 级 目录 
a ite tee te een 个 具有 进 
程 安全 级 的 有 效 目 录 , 且 名 字 对 应 于 进程 的 安全 级 。 

例如 ,在 * 虚 状态 ”下 ,具有 安全 级 levell 的 进程 执行 命令 ls/tmp, 则 系统 显示 filel 和 
file2。 具 有 安全 级 level2 的 进程 执行 命令 cd/tmp 时 , 则 实际 上 将 处 于 /tmp/level2 目录 
a 

“ 虚 状 态 ” 是 所 有 用 户 进 程 的 默认 状态 ,用 户 登录 系统 后 ,代表 其 工作 的 进程 多 级 目录 
状态 就 自动 被 安全 内 核 置 为 “ 虚 状 态 ”, 除 非 以 后 被 用 户 显 式 地 改 为 “ 实 状态 ”。 

(3)“ 实 状态 ”下 多 级 目录 访问 。 当 进程 的 多 级 目录 状态 为 “ 实 状态 ”时 ,对 多 级 目录 
的 访问 与 一 般 目 录 相同 。 如 果 应 用 程序 在 “ 实 状 态 ” 下 访问 一 个 多 级 目录 , 它 可 能 不 能 创 
建文 件 ,并 有 可 能 引起 应 用 程序 执行 的 混乱 。 因 此 用 户 执 行 vi\cc 等 应 用 程序 时 ,就 只 能 
在 “ 虚 状 态 ” 下 进行 。“ 实 状态 ”主要 用 于 系统 管理 员 对 多 级 目录 的 维护 和 整理 。 

3) 隐蔽 文件 名 的 实现 

多 级 分 层 文件 系统 中 ,文件 名 的 安全 级 与 文件 内 容 的 安全 级 是 相同 的 。 一 个 目录 中 
的 信息 可 能 具有 不 同 的 安全 级 ,因为 一 个 目录 的 内 容 就 是 文件 名 和 子 目 录 名 的 集合 ,它们 
可 以 具有 不 同 的 安全 级 。 安 全 内 核对 该 目录 中 的 所 有 内 容 都 实施 了 访问 控制 ,不 允许 用 
户 进程 通过 读 该 目录 内 容 而 查访 该 目录 下 的 文件 名 ,否则 会 产生 一 个 存储 隐蔽 通道 。 

因此 多 级 分 层 文件 系统 的 安全 策略 R13 规定 , 仅 当 用 户 的 安全 级 支配 文件 的 安全 级 
时 ,系统 才 允 许 用 户 读 取 其 文件 名 。 所 以 对 某 个 用 户 来 讲 有 些 文件 名 目录 名 是 不 可 见 的 
(隐蔽 的 )。 亦 即 对 不 同安 全 级 的 用 户 列表 同一 目录 下 的 文件 时 显示 结果 有 可 能 是 不 一 
样 的 。 

具体 实现 是 通过 修改 readdir() 系 统 调 用 ,加 入 存 取 控 制 策略 R13 完成 的 。 


4 隐蔽 通道 分 析 
设计 实现 安全 操作 系统 应 当 考虑 到 这 些 隐 项 通道 ,防止 通过 隐蔽 通道 造成 对 系统 安 
全 性 的 危害 。 隐 项 通道 分 析 包括 隐蔽 通道 的 标识 .已 标识 隐蔽 通道 的 带宽 计算 和 处 理 三 
个 步骤 ,其 中 隐蔽 通道 的 标识 是 隐蔽 通道 分 析 中 最 困难 的 ,同时 也 是 最 关键 的 步骤 。 隐 项 
通道 标识 可 以 在 系统 的 描述 性 顶层 规范 (DTLS) ,形式 化 顶层 规范 (FTLS) 或 者 源 代码 等 
三 个 层次 进行 。 目 前 可 用 的 标识 方法 大 多 用 于 FTLS, 而 不 能 用 于 源 代码 层次 。 对 FTLS 
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的 分 析 有 助 于 在 编写 代码 前 就 发 现 安全 漏洞 ,但 是 不 能 标识 系统 中 存在 的 所 有 隐蔽 通道 ， 
原因 是 : 

(1) 源 代码 比 FTLS 内 容 更 丰富 ,包含 了 FTLS 所 不 包含 的 数据 结构 和 代码 ; 

(2) FTLS 与 代码 的 一 致 性 证 明 是 非 形式 化 的 ,因此 不 能 保证 可 以 从 FTLS 中 找到 
源 代码 中 的 所 有 安全 漏洞 。 

为 了 满足 上 述 各 种 标准 所 规定 的 “彻底 搜索 ”的 目标 ,必须 对 源 代 码 进行 分 析 。 

安 胜 OS 的 隐蔽 通道 分 析 主 要 应 用 自主 研制 的 “回溯 搜索 方法 ”, 同 时 通过 共享 资源 
矩阵 法 进行 辅助 分 析 。 

(1) 在 规范 级 使 用 共享 资源 矩阵 法 进行 辅助 分 析 。 

首先 ,分 析 所 有 的 TCB 原 语 操作 ,确定 通过 TCB 接口 可 以 读 写 的 变量 ;其 次 ,建立 共 
享 资源 矩阵 ,该 矩阵 行 是 用 户 可 读 /可 写 的 TCB 变量 (这 些 变量 代表 共享 资源 属性 ) , 列 是 
用 户 可 使 用 的 TCB 原 语 , 和 矩阵 项 二 TCB 变量 ,TCB 原 语 之 是 R( 该 原 语 能 读 该 变量 ) 或 W 
(该 原 语 能 写 该 变量 )。 既 不 能 读 又 不 能 写 的 变量 合成 一 行 , 分 析 时 视 为 一 个 变量 。 

使 用 该 方法 可 以 发 现 若 干 隐 项 通道 ,但 是 存在 矩阵 构造 困难 , 伪 非 法 流 多 且 难 以 易 
除 , 工 作 量 特别 大 等 缺陷 ,因此 无 法 满足 评估 标准 中 “彻底 搜索 ”要 求 。 

(2) 在 代码 级 使 用 “回溯 搜索 方法 ”进行 彻底 分 析 。 

回溯 搜索 法 是 我 们 发 明 的 隐蔽 通道 标识 技术 。 这 种 方法 从 标识 源 代码 中 的 持久 变量 
人 入手, 回溯 发 现 读 写 持久 变量 的 内 核 系统 调用 ,从 而 找 出 源 代 码 中 的 全 部 隐蔽 通道 。 具 体 
来 说 ,该 方法 首先 列举 内 核 源 代码 中 所 有 持久 变量 ,再 对 包含 这 些 持 久 变量 的 函数 进行 信 
息 流 语义 分 析 , 回 溯 发 现 内 核 系统 调用 与 该 持久 变量 之 间 的 信息 流 关 系 。 其 基本 步骤 是 ， 

@ 列举 内 核 源 代码 中 所 有 持久 变量 ,例如 在 C 语言 中 ,持久 变量 包括 变量 声明 为 
extern 和 static 类 型 的 变量 。 将 这 些 变量 加 入 “系统 隐蔽 通道 变量 列表 ”。 

@ 列举 访问 每 个 持久 变量 的 每 个 函数 ,分 析 该 变量 在 每 个 函数 中 是 否 存在 被 修改 变 
量 值 的 情况 (包括 变量 值 的 增 减 操作 、 对 该 变量 的 赋值 操作 等 ) ,如 果 在 某 个 函数 中 存在 修 
改 持久 变量 的 变量 值 情 况 ,就 将 该 函数 加 入 该 变量 的 “ 写 访问 隐蔽 通道 变量 函数 表 ”, 同 时 
记录 写 操作 发 生 的 条 件 ,回溯 直接 或 者 间接 调用 这 个 函数 的 系统 调用 的 人口 函 数 ,将 这 些 
系统 调用 加 入 该 变量 的 “ 写 访问 隐蔽 通道 变量 系统 调用 表 ”, 如 果 访 问 某 个 持久 变量 的 任 
意 函 数 都 不 修改 该 变量 的 变量 值 , 则 从 “系统 隐蔽 通道 变量 列表 ”中 删除 这 个 变量 。 

@ 列举 访问 其 余 持 久 变量 的 每 个 函数 ,分 析 每 个 函数 的 返回 值 ,包括 异常 返回 ,是 否 
包含 该 持久 变量 值 的 信息 , 即 存在 从 持久 变量 到 函数 返回 值 的 信息 流 , 并 且 称 返回 值 包含 
持久 变量 信息 的 函数 为 能 读 访 问 持 久 变量 的 函数 ,一 个 函数 能 读 访 问 一 个 持久 变量 , 当 且 
仅 当 该 函数 能 返回 该 持久 变量 的 值 ,并 且 至 少 可 以 返回 两 个 不 同 的 值 , 如 果 该 函数 能 读 访 
问 持 久 变量 ,就 回溯 调用 这 个 函数 的 2 级 函数 ,分 析 该 2 级 函数 的 返回 值 是 否 包 含 持 久 变 
量 的 信息 ,如 果 2 级 函数 的 返回 值 包含 持久 变量 的 信息 , 则 回溯 调用 2 级 函数 的 3 级 函 
数 :…… 直到 第 ”级 函数 是 系统 调用 的 和 人口 函 数 ,如 果 系 统 调 用 的 返回 值 包含 持久 变量 的 
信息 ,将 该 系统 调用 加 入 该 变量 的 * 读 访问 隐蔽 通道 变量 系统 调用 表 ”, 如 果 访 问 某 个 持久 
变量 的 任意 函数 都 不 能 读 访 问 该 变量 , 则 从 * 系 统 隐蔽 通道 变量 列表 ”中 删除 这 个 变量 。 

@ 根据 信息 流 规 则 分 析 系 统 中 的 信息 流动 关系 ,所 谓 信息 流 规则 ,是 按 Shannon 信 
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息 论 从 编程 语言 语义 中 导出 该 语言 每 种 类 型 语句 所 蕴涵 的 信息 流 关系 。 

@ 使 用 一 个 隐蔽 通道 变量 表 中 的 持久 变量 ,该 变量 的 “ 读 访 问 隐蔽 通道 变量 系统 调 
用 表 ” 中 的 任意 一 个 系统 调用 以 及 该 变量 的 “ 写 访问 隐蔽 通道 变量 系统 调用 表 ” 中 的 任意 
一 个 系统 调用 共同 构成 一 个 隐蔽 通道 ,分 析 读 写 持久 变量 的 信息 流 路 径 , 根 据 系统 的 强制 
安全 策略 ,判断 该 读 写 路 径 是 否 可 以 进行 违反 安全 策略 的 通信 ,如 果 该 持久 变量 的 读 路 径 
或 者 写 路 径 必须 经 过 强制 安全 检查 , 则 从 "系统 隐 项 通道 变量 列表 ”中 删除 该 变量 。 

@ 为 隐蔽 通道 变量 表 中 的 每 个 持久 变量 构造 至 少 一 个 隐蔽 通信 场景 ,如 果 不 能 构造 
场景 , 则 从 * 系 统 隐蔽 通道 变量 列表 ”中 删除 该 变量 。 此 时 * 系 统 隐 项 通道 变量 列表 ”中 剩 
下 的 持久 变量 都 是 该 系统 中 存在 的 真实 的 隐蔽 通道 变量 。 

该 方法 优 于 现 有 的 最 有 效 的 语义 信息 流 法 ,因为 语义 信息 流 法 分 析 信 息 流 的 过 程 缺 
乏 有 效 的 中 断 退 出 机 制 ,大 量 的 无 效 信 息 流 路 径 构造 工作 导致 状态 爆炸 。 而 回溯 搜索 法 
只 分 析 与 持久 变量 有 关 的 函数 ,因为 系统 调用 读 写 访问 持久 变量 必然 是 通过 这 些 中 间 函 
数 实现 的 。 由 于 采用 了 退出 机 制 ,回溯 搜索 法 有 效 地 避免 了 状态 爆炸 。 此 外 ,以 往 的 语义 
信息 流 法 由 于 需要 更 多 的 分 析 步 又 与 分 析 过 程 ,所 以 对 自动 工具 更 为 依赖 。 如 果 没 有 强 
有 力 的 自动 工具 作为 支撑 ,应 用 那些 方法 搜索 隐蔽 通道 是 不 现实 的 。 而 回溯 搜索 法 没有 
这 个 问题 。 

(3) 采用 实测 的 方法 计算 出 已 标识 通道 的 带宽 ,并 且 采 用 了 四 种 方法 处 理 这 些 隐 茂 
通道 ,包括 修改 系统 调用 返回 值 , 加 入 随机 化 噪音 ,加 入 延迟 和 审计 等 措施 。 分 别处 理 了 
每 个 已 标识 通道 。 总 的 思路 是 ,针对 系统 中 产生 隐蔽 通道 的 条 件 ,消除 产生 隐蔽 通道 的 土 
壤 ; 最 坏 的 情况 下 ,对 系统 不 可 避免 的 隐蔽 通道 ,带宽 较 大 的 加 入 延 时 和 审计 ,带宽 较 小 的 
仅仅 进行 审计 处 理 。 

(4) 对 安 胜 OS 隐蔽 通道 的 分 析 ,标识 出 18 条 隐蔽 存储 通道 ,并 构造 每 条 隐蔽 通道 的 
使 用 场景 ,工程 估算 和 实测 出 每 条 隐蔽 通道 的 最 大 带宽 。 采 用 了 四 种 方法 处 理 隐 项 通道 ， 
测试 结果 表明 ,通过 采用 这 些 处 理 措施 ,可 以 达到 预定 的 监控 目标 。 


388 经典 SELinux 安全 设计 


2001 年 3 月 美国 国家 安全 局 (NSA) 发 布 了 安全 增强 Linux(SELinux), 它 在 Linux 
内 核实 现 了 灵活 的 和 细 粒 度 的 非 自 主 存 取 控制 ,并 能 够 灵活 地 支持 多 种 安全 策略 。 
SELlinux 的 最 初 实现 形式 是 作为 一 个 特殊 的 核心 补丁 。 


861 安全 体系 结构 


SELinux 的 安全 体系 结构 称 为 Flask, 它 是 在 犹他 州 大 学 和 安全 计算 公司 的 协助 下 

1 NSA 设计 的 ,如 图 8-9 所 示 。 在 Flask 体系 结构 中 ,安全 策略 和 通用 接口 一 起 封装 在 

与 操作 系统 独立 的 组 件 中 ,通用 接口 是 用 于 获得 安全 策略 决策 的 。 这 个 单独 的 组 件 称 为 
安全 服务 器 , 它 是 一 个 内 核子 系统 。 

Flask 由 两 部 分 组 成 , 即 策略 (Policy) 和 实施 (Enforcement) ,策略 封装 在 安全 服务 器 
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客户 机 | 
对 象 请 求 | 
对 象 管理 器 。 | 查询 .| 安全 服务 器 
安全 策略 
决策 
对 象 到 SID 映 时 SID 到 安全 上 文 映射 


图 8-9 SELinux 安全 体系 结构 图 


中 ,实施 由 对 象 管理 器 具体 执行 。 

系统 内 核 的 对 象 管理 器 执行 系统 的 具体 操作 , 当 需 要 对 安全 性 进行 判断 时 ,向 安全 服 
务 咒 提出 请 求 。 对 象 管理 器 只 关心 SID。 请 求 到 达 安 全 服务 器 后 ,实现 与 安全 上 下 文 
(security context) 的 映射 并 进行 计算 ,然后 将 决定 的 结果 返回 给 对 象 管理 器 。 

系统 中 关于 安全 的 请 求 和 决定 有 三 种 情况 。 

(1) 标记 决策 (Labeling decision) : 确定 一 个 新 的 主体 或 客体 采用 什么 安全 标签 (如 
创建 客体 时 ) 。 

(2) 访问 决策 (Access Decision): 确定 主体 是 否 能 访问 客体 的 某 种 服务 (如 文件 
读 写 ) 。 

(3) 多 实例 决策 (Polyinstantiation Decision) : 确定 一 个 进程 在 访问 某 个 polyinstantiation 
客体 时 ,可 不 可 以 转 为 另 一 个 进程 (如 从 login_t 转 到 netscape_t) 。 

安全 服务 器 是 内 核 的 子 系统 ,用 于 实现 对 策略 的 封装 并 提供 通用 接口 。SELinux 的 
安全 服务 器 实现 了 一 种 混合 的 安全 性 策略 ,包括 类 型 实施 (Type Enforcement)、 基 于 角色 
的 访问 控制 (Role-based Access Control) 和 可 选 的 多 级 别 安全 性 (optional Multilevel 
Security) 。 该 策略 由 另 一 个 称 为 checkpolicy 的 程序 编译 , 它 由 安全 性 服务 器 在 引导 时 读 
取 , 生 成 一 个 文件 /ss_policy。 这 意味 着 安全 性 策略 在 每 次 系统 引导 时 都 会 有 所 不 同 , 事 
实 上 策略 甚至 可 以 通过 使 用 security_load_policy 接口 在 系统 操作 期 间 更 改 ( 只 要 将 策略 
配置 成 允许 这 样 的 更 改 ) 。 

Flask 结构 还 提供 一 个 访问 向 量 缓存 (AVC) 模 块 , 允 许 对 象 管 理 器 缓存 访问 向 量 , 减 
小 整体 性 能 的 损耗 。 在 每 次 进行 安全 检查 时 ,系统 首先 检查 存放 在 AVC 中 的 访问 向 量 ， 
如 果 存 在 此 访问 向 量 , 则 直接 返回 在 AVC 中 的 访问 向 量 ;否则 ,向 安全 服务 器 提出 查询 
请 求 , 在 安全 服务 器 中 根据 主客 体 的 SID 及 相应 的 类 ,针对 相关 的 安全 策略 对 请 求 进行 
检查 ,然后 返回 相应 的 访问 矢量 ,并 把 此 访问 向 量 存 放 在 AVC 中 。 

Flask 有 两 个 用 于 安全 性 标签 但 是 与 安全 策略 无 关 的 数据 类 型 : 安全 性 上 下 文 
(Security Context) 和 安全 性 标识 (SID)。 安 全 性 上 下 文 是 表示 安全 性 标签 的 变 长 字符 
串 ,由 以 下 几 部 分 组 成 : 用 户 、 角 色 、 类 型 和 可 选 MLS 范围 ,如 
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XXX UU:XXX r:xxx t:MLS 

安全 性 标识 (SID) 是 由 安全 服务 器 映射 到 安全 上 下 文 的 一 个 整数 。SID 作为 实际 上 
下 文 的 简单 句柄 服务 于 系统 ,只 能 由 安全 服务 器 解释 。Flask 通过 称 为 对 象 管理 器 的 构 
造 执行 实际 的 系统 绑 定 。 它 们 处 理 SID 和 安全 上 下 文 , 不 涉及 安全 上 下 文 的 属性 。 任何 
格式 上 的 更 改 都 不 应 该 对 对 象 管理 器 进行 更 改 。 

一 般 来 说 ,对 象 管理 器 依据 主体 和 客体 的 SID 对 和 对 象 的 类 来 查询 安全 服务 器 , 目 
的 在 于 获得 访问 决定 一 一 访问 向 量 。 类 标识 对 象 是 哪 一 种 类 (例如 ,常规 文件 .目录 、 进 
程 .UNIX 域 套 接 字 还 是 TCP 套 接 字 ) 的 整数 。 访 问 向 量 中 的 许可 权 通 常 由 对 象 可 以 支 
持 的 服务 和 实施 的 安全 性 策略 定义 ,并 且 访 问 向 量 许可 权 基 于 类 加 以 解释 ,因为 不 同 种 类 
的 对 象 有 不 同 的 服务 。 例 如 访问 向 量 中 使 用 的 许可 权 位 表示 文件 的 mnlink' 许 可 权 , 它 也 
用 于 表示 套 接 字 的 connect' 许 可 权 。 向 量 可 以 高 速 缓存 在 访问 向 量 高 速 缓存 (AVC) 中 ， 
也 可 以 和 对 象 一 起 存储 ,这 样 对 象 管理 器 就 不 必 被 那些 已 执行 的 决策 的 请 求 淹没 。 


862 安全 策略 配置 


SELinux 系统 中 的 每 个 主体 都 有 一 个 域 (domain) ,每 个 客体 都 有 一 个 类 型 (type) (在 
SELinux 中 统一 将 域 和 类 型 定义 为 类 型 )。 策 略 的 配置 决定 对 类 型 的 存 取 是 否 被 允许 ,以 
及 一 个 域 能 否 转移 到 另 一 个 域 等 。 类 型 的 概念 应 用 到 应 用 程序 中 时 ,可 以 决定 类 型 是 否 
可 以 由 域 执行 ; 某 个 类 型 被 执行 时 ,可 以 从 一 个 域 跳 转 到 另 一 个 。 这 就 保证 了 每 个 应 用 程 
序 属于 它们 自己 的 域 , 防 止 恶意 程序 进行 破坏 。 

角色 也 在 配置 中 进行 了 定义 。 每 个 进程 都 有 一 个 与 之 相关 的 角色 : 系统 进程 以 
system_r 角色 运行 ,而 用 户 可 以 是 user_r 或 sysadim_r。 配 置 还 枚 举 了 可 以 由 角色 输入 
的 域 。 假 设 用 户 执行 一 个 程序 foobar。 通 过 执行 它 , 用 户 转移 到 user_foobar_t 域 。 该 域 
可 能 只 包含 一 小 部 分 与 该 用 户 初始 登录 相关 的 user_t 域 中 的 许可 权 。 

安全 策略 配置 目标 包括 控制 对 数据 的 原始 访问 、 保 护 内 核 和 系统 软件 的 完整 性 .防止 
有 特权 的 进程 执行 危险 的 代码 ,以 及 限制 由 有 特权 的 进程 缺陷 所 导致 的 伤害 。 

策略 可 根据 策略 文件 灵活 生成 ,Selinux 中 的 策略 定义 非常 广泛 、 灵 活 。 客 体 的 类 型 
定义 有 security、device,file、procfs、devpts、nfs、network; 主 体 的 域 的 策略 定义 有 admin、 
program、system、user。 策 略 是 由 策略 语言 生成 的 ,这 个 生成 过 程 对 用 户 来 讲 是 透明 的 ， 
SELinux 系统 中 采用 m4 宏 处 理 语言 作为 系统 策略 语言 。 


8.7 ”本 章 小 结 


开发 一 个 安全 的 操作 系统 可 以 有 两 种 途径 。 一 种 是 从 头 设计 ; 另 一 种 是 对 原 有 系统 
进行 加 固 。 从 头 设计 是 指 开发 一 个 完整 的 新 系统 。 这 时 应 将 操作 系统 的 功能 与 所 需要 的 
安全 功能 一 起 考虑 ,在 实现 操作 系统 功能 的 同时 构建 安全 的 操作 系统 。 对 原 有 操作 系统 
进行 加 固 ,是 当前 常见 的 增强 通用 计算 机 操作 系统 安全 性 的 方法 。 这 种 方法 往往 只 能 采 
用 增加 外 部 安全 控制 模块 来 实现 前 端 过 虑 器 或 访问 监督 器 ,其 所 能 实现 的 安全 功能 会 受 
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到 一 定 的 限制 。 例 如 对 于 客体 重用 的 要 求 很 难 用 加 固 的 方法 实现 ;隐蔽 信道 分 析 的 要 求 
对 于 非 信 息 流 控制 的 系统 是 无 法 实现 的 。 另 外 ,如 何 加 强 安全 模块 自身 的 安全 保护 ,防止 
攻击 者 破坏 或 绕 过 安全 模块 也 是 一 个 必须 认真 解决 的 重要 问题 。 但 是 无 论 采 用 哪 种 开发 
途径 ,安全 操作 系统 的 设计 原则 、 开 发 方法 以 及 开发 过 程 都 是 基本 一 致 的 。 

一 般 来 说 ,安全 操作 系统 的 开发 可 以 划分 为 面向 威胁 和 面向 标准 两 种 类 型 。 面 向 威 
胁 的 方法 从 对 实际 安全 威胁 的 分 析 着 手 ,根据 安全 威胁 确定 系统 的 安全 需求 。 面 向 标准 
的 方法 则 基于 现 有 安全 评价 标准 (准则 ) 的 要 求 确定 系统 的 安全 需求 ,但 安全 标准 的 制定 
是 来 之 于 安全 威胁 。 两 者 的 联系 之 处 在 于 在 第 二 种 方式 中 假设 规则 的 制定 者 已 经 标识 了 
所 有 相关 的 威胁 ,所 以 二 者 之 间 并 不 冲突 ,本 质 上 是 一 致 的 ,关键 在 于 如 何在 实践 中 依据 
各 种 因素 灵活 选用 适当 的 开发 方式 。 

无 论 是 面向 威胁 还 是 面向 标准 设计 安全 操作 系统 ,都 应 该 从 安全 功能 和 安全 保证 两 
方面 考虑 其 安全 性 。 安 全 功能 说 明了 操作 系统 所 实现 的 安全 策略 和 安全 机 制 ,安全 保证 
则 借助 配置 管理 发 行 与 使 用 .开发 ,指南 文档 .生命 周期 支持 .测试 和 脆弱 性 评估 等 方面 
所 采取 的 措施 来 确立 产品 的 安全 确信 和 度 ,保证 其 所 提供 的 安全 功能 确实 达到 了 确定 的 功 
能 要 求 。 

另外 ,设计 安全 的 操作 系统 还 必须 考虑 它 的 可 用 性 ,这 方面 的 内 容 主要 包括 安全 功能 
的 友好 性 、 系 统 的 效率 .兼容 性 等 ,一 个 不 被 用 户 所 接受 的 安全 操作 系统 是 不 能 算 作成 功 
的 系统 。 

本 章 从 一 般 性 的 角度 ,讨论 了 安全 操作 系统 的 设计 原则 与 一 般 结构 、 开 发 方法 、 开 发 
过 程 以 及 开发 中 需要 注意 的 问题 ,最 后 有 代表 性 地 举例 说 明了 安全 性 改进 增强 的 安全 操 
作 系 统 、 系 统 安全 体系 、 安 全 模块 等 的 实际 设计 。 


8.8 习题 


1. 基于 一 般 操 作 系 统 开发 安全 操作 系统 一 般 有 三 种 方法 , 即 虚拟 机 法 、 改 进 /增强 
法 、 仿 真 法 。 请 比较 这 三 种 开发 方法 之 间 的 优 缺 点 及 它们 各 自 所 适用 的 场合 。 

2. 目前 人 们 大 多 是 通过 对 Linux 内 核 进行 安全 性 增强 的 方式 来 开发 所 需 的 各 种 安 
全 机 制 。 试 说 明 在 这 个 过 程 中 如 何 保障 安全 机 制 的 完备 性 。 

3. 对 照 国标 GB 17859 一 1999 各 安全 等 级 的 要 求 , 请 具体 给 出 《安全 标记 保护 级 》 在 
安全 保证 中 对 TCB 设计 与 实现 的 具体 要 求 。 

4. 结合 TCB 的 设计 与 实现 ,请 进一步 展开 安全 操作 系统 开发 过 程 中 的 安全 机 制 的 
设计 与 实现 。 

5. 在 安全 操作 系统 的 开发 过 程 中 ,如 何 协调 系统 的 安全 性 兼容 性 及 效率 三 方面 的 
关系 ? 
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第 9 章 
”操作 系统 安全 评测 


安全 功能 作为 安全 操作 系统 所 应 提供 的 一 个 重要 功能 组 成 部 分 ,业界 对 于 它 和 其 他 
功能 的 要 求 是 不 同 的 。 一 般 来 讲 ,如 果 在 某 个 安全 操作 系统 的 开发 过 程 中 使 用 了 严格 质 
量 控 制 , 这 时 仍 发 现 某 个 功能 模块 存在 一 个 故障 时 ,只 要 这 个 故障 不 会 对 操作 系统 造成 致 
命 的 影响 ,通常 可 以 容忍 它 的 存在 ,这 是 因为 绝 大 部 分 非 安 全 功能 故障 对 整个 操作 系统 正 
常 运 行 影响 甚 微 。 但 是 对 于 安全 漏洞 而 言 ,情形 往往 是 由 于 安全 操作 系统 的 一 个 安全 漏 
洞 ,可 能 致使 整个 系统 所 有 的 安全 控制 变 得 毫 无 价值 ,并 且 一 旦 这 个 漏洞 如 果 被 蓄意 入 侵 
者 发 现 ,就 会 产生 巨大 危害 ,所 以 这 就 要 求 能 及 时 发 现 这 些 安全 漏洞 并 且 对 这 些 漏 洞 作出 
响应 。 


5 操作 系统 安全 性 保证 手段 一 一 从 漏洞 
扫描 评估 到 系统 性 安全 性 评测 


为 了 保证 安全 操作 系统 的 安全 性 ,人 们 往往 首先 想到 需要 采用 专用 工具 扫描 操作 系 
统 的 安全 漏洞 ,从 而 达到 发 现 漏洞 和 补救 这 些 漏洞 的 目的 。 


911 操作 系统 安全 漏洞 扫描 


操作 系统 安全 漏洞 扫描 的 主要 目的 是 : 自动 评估 由 于 操作 系统 配置 方式 不 当 所 导致 
的 安全 漏洞 。 扫 描 软 件 在 每 台 机 器 上 运行 ,通过 一 系列 测试 手段 来 探 察 每 一 台 机 器 ,发 现 
潜在 的 安全 缺陷 。 它 从 操作 系统 的 角度 评估 单机 的 安全 环境 并 生成 所 发 现 的 安全 漏洞 的 
详细 报告 。 操 作 系 统 安 全 扫描 软件 就 像 一 位 安全 顾问 ,检查 系统 寻找 漏洞 ,提供 问题 报 
告 , 并 提出 解决 办 法 。 可 以 使 用 扫描 软件 对 安全 策略 和 实际 实施 进行 比较 ,并 给 出 建议 采 
取 相 应 措施 堵塞 安全 漏洞 。 

操作 系统 安全 扫描 的 主要 内 容 包括 : 

(1) 设置 错误 。 从 安全 角度 来 看 ,操作 系统 软件 的 设置 是 很 困难 的 ,设置 时 一 个 很 小 
的 错误 就 可 能 导致 一 系列 安全 漏洞 。 扫 描 软 件 应 该 可 以 检查 系统 设置 ,搜索 安全 漏洞 , 判 
断 是 否 符合 安全 策略 。 

(2) 黑客 踪迹 。 黑 客 留 下 的 踪迹 常常 是 可 以 检测 到 的 ,例如 扫描 软件 能 够 检查 网 络 
接口 是 否 处 于 * 杂 收 ?模式 ,如 果 是 , 则 表明 可 能 是 黑客 正 从 那 台 机 器 窥探 并 在 网 络 上 盗 取 
口令 。 黑 客 也 常 在 某 些 目录 下 放置 文件 ,扫描 软件 检查 这 些 目录 下 是 否 有 可 疑 的 文件 。 

(3) 特洛伊 木马 程序 。 黑 客 经 常 在 系统 文件 中 内 罕 “ 别 有 用 心 ”* 的 应 用 程序 ,对 安全 
构成 很 大 威胁 。 扫 描 软 件 试图 检查 这 种 应 用 程序 的 存在 。 
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(4) 关键 系统 文件 完整 性 的 威胁 。 扫 描 软 件 能 够 检查 关键 系统 文件 的 非 授权 修改 和 
不 合适 的 版 本 。 这 种 检查 不 仅 提供 了 一 种 检测 漏洞 的 手段 ,也 有 助 于 版 本 控制 。 
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虽然 定期 地 或 经 常 地 进行 操作 系统 安全 漏洞 扫描 ,并 根据 所 发 现 的 漏洞 及 时 修复 ,可 
以 从 一 定 程度 上 避免 操作 系统 带 来 安全 风险 ,但 是 这 些 扫描 工具 是 零碎 的 、 基 于 经 验 的 、 
没有 系统 性 的 ,所 以 没有 发 现 一 个 操作 系统 的 安全 漏洞 并 不 代表 其 是 安全 的 。 这 时 人 们 
才 逐 渐 倾 向 于 采用 系统 性 的 安全 操作 系统 评测 技术 来 对 操作 系统 的 安全 性 进行 评价 和 测 
试 。 通 常 对 安全 操作 系统 评测 是 从 安全 功能 及 其 设计 的 角度 出 发 ,由 权威 的 第 三 方 实施 
的 。 所 以 在 本 章 主 要 介绍 对 计算 机 信息 系统 安全 的 可 信 度 进行 评测 的 各 个 方面 ,以 期 获 
得 一 种 可 对 安全 操作 系统 的 安全 性 进行 系统 性 量度 的 手段 。 


93 操作 系统 安全 评测 方法 


我 们 说 一 个 操作 系统 是 安全 的 ,是 指 它 满足 某 一 给 定 的 安全 策略 。 一 个 操作 系统 的 
安全 性 是 与 设计 密切 相关 的 ,只 有 有 效 保证 从 设计 者 到 用 户 都 相信 设计 准确 地 表达 了 模 
型 ,而 代码 准确 地 表达 了 设计 时 ,该 操作 系统 才 可 以 说 是 安全 的 ,这 也 是 安全 操作 系统 评 
测 的 主要 内 容 。 评 测 操作 系统 安全 性 的 方法 主要 有 三 种 : 形式 化 验证 、 非 形式 化 确认 及 
入 侵 分 析 。 这 些 方法 各 自 可 以 独立 使 用 ,也 可 以 将 它们 综合 起 来 评估 操作 系统 的 安全 性 。 


1. 形式 化 验证 

分 析 操作 系统 安全 性 最 精确 的 方法 是 形式 化 验证 。 在 形式 化 验证 中 ,安全 操作 系统 
被 简化 为 一 个 要 证 明 的 “定理 ”。 定 理 断 言 该 安全 操作 系统 是 正确 的 , 即 它 提供 了 所 应 提 
供 的 安全 特性 。 但 是 证 明 整 个 安全 操作 系统 正确 性 的 工作 量 是 巨大 的 。 另 外 ,形式 化 验 
证 也 是 一 个 复杂 的 过 程 ,对 于 某 些 大 的 实用 系统 ,试图 描述 及 验证 它 都 是 十 分 困难 的 , 特 
别 是 那些 在 设计 时 并 未 考虑 形式 化 验证 的 系统 更 是 如 此 。 


2 非 形式 化 确认 

确认 是 比 验证 更 为 普遍 的 术语 。 它 包括 验证 ,但 它 也 包括 其 他 一 些 不 太 严格 的 让 人 
们 相信 程序 正确 性 的 方法 。 完 成 一 个 安全 操作 系统 的 确认 有 如 下 几 种 不 同 的 方法 。 

(1) 安全 需求 检查 : 通过 源 代码 或 系统 运行 时 所 表现 的 安全 功能 ,交叉 检查 操作 系 
统 的 每 个 安全 需求 。 其 目标 是 认证 系统 所 做 的 每 件 事 是 否 都 在 功能 需求 表 中 列 出 ,这 一 
过 程 有 助 于 说 明 系统 仅 做 了 它 应 该 做 的 每 件 事 。 但 是 这 一 过 程 并 不 能 保证 系统 没有 做 它 
不 应 该 做 的 事情 。 

(2) 设计 及 代码 检查 : 设计 者 及 程序 员 在 系统 开发 时 通过 仔细 检查 系统 设计 或 代 
码 ,试图 发 现 设计 或 编程 错误 。 例 如 不 正确 的 假设 ,不 一 致 的 动作 或 错误 的 逻辑 等 。 这 种 
检查 的 有 效 性 依赖 于 检查 的 严格 程度 。 

(3) 模块 及 系统 测试 : 在 程序 开发 期 间 ,程序 员 或 独立 测试 小 组 挑选 数据 检查 操作 
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系统 的 安全 性 。 必 须 组 织 测 试 数据 以 便 检查 每 条 运行 路 线 、 每 个 条 件 语 句 、 所 产生 的 每 种 
类 型 的 报表 、 每 个 变量 的 更 改 等 。 在 这 个 测试 过 程 中 要 求 以 一 种 有 条 不 紊 的 方式 检查 所 
有 的 实体 。 


3.“ 老 虎 ” 小 组 入 侵 测 试 

在 这 种 方法 中 ,“ 老 虎 ” 小 组 成 员 试 图 “摧毁 ”正在 测试 中 的 安全 操作 系统 。“ 老 虎 ” 小 
组 成 员 应 当 掌 握 操作 系统 典型 的 安全 漏洞 ,并 试图 发 现 并 利用 系统 中 的 这 些 安全 缺陷 。 

这 种 方法 很 像 要 求 一 个 机 修 工 对 大 量 上 市 的 汽车 进行 检查 的 情形 。 机 修 工 知道 可 能 
的 缺陷 所 在 ,并 尽 可 能 地 多 次 检查 。 操 作 系 统 在 某 一 次 入 侵 测 试 中 失效 , 则 说 明 它 内 部 有 
错 。 相 反 地 ,操作 系统 在 某 一 次 入 侵 测 试 中 不 失效 ,并 不 能 保证 系统 中 没有 任何 错误 。 入 
侵 测 试 在 确定 错误 存在 方面 是 非常 有 用 的 。 

一 般 来 说 ,评价 一 个 计算 机 系统 安全 性 能 的 高 低 , 应 从 如 下 两 个 方面 进行 。 

(1) 安全 功能 : 系统 具有 哪些 安全 功能 ; 

(2) 可 信 性 : 安全 功能 在 系统 中 得 以 实现 的 ,可 被 信任 的 程度 。 通 常 通过 文档 规范 、 
系统 测试 .形式 化 验证 等 安全 保证 来 说 明 。 


9.3 ”安全 评测 准则 


931 国内 外 安全 评测 准则 概况 


为 了 对 现 有 计算 机 系统 的 安全 性 进行 统一 的 评价 ,为 计算 机 系统 制造 商 提 供 一 个 有 
权威 的 系统 安全 性 标准 ,需要 有 一 个 计算 机 系统 安全 评测 准则 。 

美国 国防 部 于 1983 年 推出 了 历史 上 第 一 个 计算 机 安全 评价 标准 《可 信 计 算 机 系统 评 
测 准 则 (Trusted Computer System Evaluation Criteria,TCSEC)》, 又 称 橘 皮 书 。TCSEC 
带动 了 国际 上 计算 机 安全 评测 的 研究 ,德国 ,英国 、 加 拿 大 ,西欧 四 国 等 纷纷 制定 了 各 自 的 
计算 机 系统 评价 标准 。 近 年 来 ,我 国 也 制定 了 相应 的 强制 性 国家 标准 GB 17859 一 1999 
《计算 机 信息 系统 安全 保护 等 级 划分 准则 》 和 推荐 标准 GB/T 18336 一 2001《 信 息 技术 
安全 技术 ”信息 技术 安全 性 评估 准则 》。 

表 9-1 给 出 了 国内 外 计算 机 评价 标准 的 概况 。 

表 9-1 国内 外 计算 机 评价 标准 的 概况 


标准 名 称 颁布 的 国家 或 组 织 颁布 年 份 
美国 TCSEC 美国 国防 部 1983 
美国 TCSEC 修订 版 美国 国防 部 1985 
德国 标准 西 德 1988 
英国 标准 英国 1989 
加 拿 大 标准 V1 加 拿 大 1989 
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标准 名 称 颁布 的 国家 或 组 织 颁布 年 份 

欧洲 ITSEC 西欧 四 国 ( 英 法. 荷 、 德 ) 991 
联邦 标准 草案 (FC) 美国 992 
加 拿 大 标准 V3 加 拿 大 993 
CE VIO 美 . 荷 .法 、 德 . 英 、 加 996 
中 国 军 标 GJB2646 一 96 中 国 国防 科学 技术 委员 会 996 
CC V2.0 美 . 荷 .法 、 德 . 英 、 加 997 
ISO/IEC 15408 国际 标准 组 织 999 
中 国 GB17859 一 1999 中 国 国 家 质量 技术 监督 局 999 
中 国 GB/T18336 一 2001 中 国 国 家 质量 技术 监督 局 2001 


1. 德国 标准 

德国 标准 是 由 德国 ( 西 德 ) 信 息 安全 局 推出 的 计算 机 安全 评价 标准 ,又 称 德国 绿 皮 书 。 
该 标准 定义 了 10 个 功能 类 ,并 用 Fl 至 F10 加 以 标识 。 其 中 ,Fl 类 至 F5 类 对 应 到 美国 
TCSEC 的 Cl 至 B3 等 级 的 功能 需求 ,F6 类 定义 的 是 数据 和 程序 的 高 完整 性 需求 ,F7 类 
适合 高 可 用 性 ,F8 至 F10 类 面向 数据 通信 环境 。 另 一 方面 ,该 标准 定义 了 Q0o 至 Q7 的 8 
个 表示 保证 能 力 的 质量 等 级 ,分 别 大致 对 应 到 TCSEC 标准 D 至 Al 级 的 保证 需求 。 该 
标准 的 功能 类 和 保证 类 可 以 任意 组 合 ,潜在 地 产生 80 种 不 同 的 评价 结果 ,很 多 组 合 结果 
超过 了 TCSEC 标准 的 需求 范围 。 

2 加 拿 大 标准 

加 拿 大 政府 设计 开发 了 自己 的 可 信任 计算 机 标准 一 一 加 拿 大 可 信 计 算 机 产品 评估 标 
准 (Canadian Trusted Computer Product Evaluation Criteria,CTCPEC) 。CTCPEC 提出 
了 在 开发 或 评估 过 程 中 产品 的 功能 (functionality) 和 保证 (assurance)。 功 能 包括 机 密 
(confidentiality) 、 完 整 性 (integrity)、 可 用 性 (availability) 和 可 追究 性 (accountability ) 。 
保证 说 明 安全 产品 实现 安全 策略 的 可 信 程度 。 

3. 英国 标准 

英国 标准 是 由 英国 的 贸易 工业 部 和 国防 部 联合 开发 的 计算 机 安全 评价 标准 。 该 标准 
定义 了 一 种 称 为 声明 语言 的 元 语言 ,允许 开发 商 借助 这 种 语言 为 产品 给 出 有 关 安 全 功能 
的 声明 。 采 用 声明 语言 的 目的 是 提供 一 个 开放 的 需求 描述 结构 ,开发 商 可 以 借助 这 种 结 
构 描 述 产品 的 质量 声明 ,独立 的 评价 者 可 以 借助 这 种 结构 来 验证 那些 声明 的 真实 性 。 该 
标准 定义 了 L1 至 L6 的 六 个 评价 保证 等 级 ,大 致 对 应 到 TCSEC 标准 的 Cl 至 Al 或 德国 
标准 的 Ql 至 Q6 保证 等 级 。 


4 欧洲 ITSEC 标 准 
20 世纪 90 年 代 初 ,西欧 四 国 ( 英 、 法 、 荷 . 德 ) 联 合 提 出 了 信息 技术 安全 评价 标准 
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(ITSEC) ,ITSEC( 又 称 欧 洲 白 皮 书 ) 除 了 吸收 TCSEC 的 成 功 经 验 外 ,提出 了 信息 安全 的 
保密 性 .完整 性 .可 用 性 的 概念 ,首次 把 可 信 计 算 基 的 概念 提高 到 可 信 信 息 技术 的 高 度 来 
认识 。 

ITSEC 也 定义 了 七 个 安全 级 别 , 亦 即 : 

。E6 形式 化 验证 级 。 

。E5 形式 化 分 析 级 。 

。 E4 半 形 式 化 分 析 级 。 

。E3 数字 化 测试 分 析 级 。 

。E2 数字 化 测试 级 。 

。 El 功能 测试 级 。 

。E0 不 能 充分 满足 保证 级 。 


5 联邦 标准 草案 

联邦 标准 是 由 美国 国家 标准 与 技术 协会 和 国家 安全 局 联合 开发 的 拟 用 于 取代 
TCSEC 标准 的 计算 机 安全 评价 标准 。 该 标准 与 欧洲 的 ITSEC 标准 比较 相似 , 它 把 安全 
功能 和 安全 保证 分 离 成 两 个 独立 的 部 分 。 该 标准 只 有 草案 ,没有 正式 版 本 ,因为 草案 推出 
后 ,该 标准 的 开发 组 便 转 移 到 与 加 拿 大 及 ITSEC 标准 的 开发 组 等 联合 开发 共同 标准 
(CC) 的 工作 之 中 。 但 该 标准 提出 了 保护 轮廓 定义 书 和 安全 目标 定义 书 的 概念 。 


6 国际 通用 准则 COC 

CC 标准 是 美国 同 加 拿 大 以 及 欧 共 体 国 家 一 起 制定 的 通用 安全 评价 准则 (Common 
Criteria for IT Security Evaluation ,CC) ,1996 年 1 月 发 布 了 CC 的 1.0 版 ,1997 年 8 月 
颁布 了 CC 的 2.0 版 。1999 年 7 月 CC 标准 通过 国际 标准 组 织 认 可 ,被 确立 为 国际 标准 ， 
即 ISO/IEC 15408。CC 标准 吸收 了 各 国 制 定 信 息 系统 安全 评测 标准 的 经 验 ,将 对 信息 安 
全 系统 和 产品 的 研究 .应 用 与 评测 带 来 重大 影响 。 事 实 上 目前 已 经 显示 出 了 种 种 迹象 , 
例如 : 

(1) 1998 年 1 月 ,经 过 两 年 的 密切 协商 ,来 自 美国 .加 拿 大 、 法 国 、 德 国 以 及 英国 的 政 
府 组 织 签 订 了 历史 性 的 安全 评估 互 认 协 议 : IT 安全 领域 内 CC 认可 协议 。 根 据 该 协议 ， 
在 协议 签署 国 范围 内 ,在 某 个 国家 进行 的 基于 CC 的 安全 评估 将 在 其 他 国家 内 得 到 承认 。 
截至 2003 年 3 月 ,加 入 该 协议 的 国家 共有 十 五 个 : 澳大利亚 .新西兰 .加 拿 大 .芬兰 .法 
国 、 德 国 、 希 腊 、 以色列 .意大利 .荷兰 挪威、 西班牙、 瑞典、 英国 及 美国 。 

(2) 美国 NSA 内 部 的 可 信 产 品评 估计 划 (CTPEP) 以 及 可 信 技 术 评 价 计 划 (CTTAP) 最 
初 根据 TCSEC 进行 产品 的 评估 ,但 从 1999 年 2 月 1 日 起 ,这 些 计 划 将 不 再 接受 基于 
TCSEC 新 的 评估 ,此 后 接受 的 任何 新 产品 都 必须 根据 CC 的 要 求 进行 评估 。 到 2001 年 
底 , 所 有 已 经 通过 TCSEC 评估 的 产品 ,其 评估 结果 或 者 过 时 ,或 者 转换 为 CC 评估 等 级 。 

(3) NSA 已 经 将 TCSEC 对 操作 系统 的 C2 和 Bl 级 要 求 转 换 为 基于 CC 的 要 求 ( 或 
PP) ,NSA 正在 将 TCSEC 的 B2 和 B3 级 要 求 转换 成 基于 CC 的 保护 轮廓 ,但 对 TCSEC 
中 的 Al 级 要 求 不 进行 转换 。TCSEC 的 可 信和 网 络 解释 CTND) 在 使 用 范围 上 受到 了 限制 ， 
已 经 不 能 广泛 适用 于 目前 的 网 络 技术 ,因此 NSA 目前 不 计划 提交 与 TNI 相应 的 PP。 
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(4) 微软 聘请 科学 应 用 国际 集团 (SAIC) 的 Common Criteria 实验 室 来 对 Windows 
2000 进行 测试 。 经 过 三 年 的 努力 和 花费 数 百 万 资金 ,2002 年 10 月 29 日 ,微软 宣称 
Windows 2000 已 经 通过 CC 标准 EAL4 级 别 的 全 部 所 需 测试 ,满足 15 国家 承认 的 CC 标 
准 的 安全 认证 。 虽然 这 一 认证 不 能 保证 Windows 2000 无 bug, 但 它 表 明了 Windows 
2000 的 开发 和 维护 确实 达到 “系统 化 设计 、 测 试 和 检查 ”的 程度 。EAL4 也 是 商业 实验 室 
所 能 给 出 的 最 高 级 别 , 更 高 安全 级 别 ,例如 EAL5、EAL6、EAL?7 则 必须 由 政府 机 构 来 


932 美国 橘 皮 书 


TCSEC 是 美国 国防 部 根据 国防 信息 系统 的 保密 需求 制定 的 ,首次 公布 于 1983 年 。 
1 于 它 使 用 了 橘 色 书 皮 , 所 以 通常 称 为 橘 皮 书 。 后 来 在 美国 国防 部 国家 计算 机 安全 中 心 
(NCSC) 的 主持 下 制定 了 一 系列 相关 准则 ,例如 ,可 信任 数据 库 解 释 (Trusted Database 
Interpretation) 和 可 信任 网 络 解 释 (Trusted Network Interpretation) 。 由 于 每 本 书 使 用 
了 不 同 颜色 的 书 皮 , 人 们 将 它们 称 为 彩虹 系列 。1985 年 ,TCSEC 再 次 修改 后 发 布 , 然 后 
一 直 沿 用 至 今 。 直 到 1999 年 以 前 ,TCSEC 一 直 是 美国 评估 操作 系统 安全 性 的 主要 准则 ， 
其 他 子 系统 ,例如 数据 库 和 网 络 的 安全 性 ,也 一 直 是 通过 橘 皮 书 的 解释 来 评估 的 。 按 照 
TCSEC 的 标准 测试 系统 的 安全 性 主要 包括 硬件 和 软件 部 分 ,整个 测试 过 程 对 生产 厂商 来 
说 是 很 昂贵 的 ,而 且 往 往 需 要 几 年 才能 完成 。 在 美国 ,一 个 申请 某 个 安全 级 别 的 系统 ,只 
有 在 符合 所 有 的 安全 要 求 后 才 由 权威 评测 机 构 NCSC 颁发 相应 的 证 书 。 


1. 美国 国防 部 可 信 计 算 机 系统 评测 准则 介绍 

计算 机 安全 评测 的 基础 是 需求 说 明 , 即 把 一 个 计算 机 系统 称 为 "安全 的 ”真实 含义 是 
什么 。 一 般 地 说 ,安全 系统 规定 安全 特性 ,控制 对 信息 的 存 取 ,使 得 只 有 授权 的 用 户 或 代 
表 他 们 工作 的 进程 才 拥 有 读 、 写 、 建 立 或 删除 信息 的 存 取 权 。 美 国 国防 部 早 在 1983 年 就 
基于 这 个 基本 的 目标 ,给 出 了 可 信任 计算 机 信息 系统 的 六 项 基本 需求 : 其 中 四 项 涉及 信 
息 的 存 取 控 制 ;两 项 涉及 安全 保障 。 

需求 1: 安全 策略 ”必须 有 一 个 显 式 和 良好 定义 的 安全 策略 由 该 系统 实现 。 已 知 标 
识 的 主体 和 对 象 。 必 须 有 一 组 规则 ,用 于 确定 一 个 已 知 主体 能 否 允 许 存 取 一 指定 对 象 。 
根据 安全 策略 ,计算 机 系统 可 以 实施 强制 存 取 控制 ,有 效 地 实现 处 理 敏感 (例如 有 等 级 的 ) 
信息 的 存 取 规则 。 此 外 ,需要 建立 自主 存 取 控 制 机 制 , 确 保 只 有 所 选择 的 用 户 或 用 户 组 才 
可 以 存 取 指定 数据 。 

需求 2: 标记 存 取 控制 标签 必须 对 应 于 对 象 。 为 了 控制 对 存储 在 计算 机 中 信息 的 
存 取 ,按照 强制 存 取 控制 规则 ,必须 合理 地 为 每 个 对 象 加 一 个 标签 ,可 靠 地 标识 该 对 象 的 
敏感 级 ,以 及 与 可 能 存 取 该 对 象 的 主体 相符 的 存 取 方式 。 

需求 3: 标识 ”每 个 主体 都 必须 予以 标识 。 对 信息 的 每 次 存 取 都 必须 通过 系统 决定 。 
标识 和 授权 信息 必须 由 计算 机 系统 安全 地 维护 。 

需求 4: 审计 可 信任 系统 必须 能 将 与 安全 有 关 的 事件 记录 到 审计 记录 中 。 必 须 有 
能 力 选 择 所 记录 的 审计 事件 ,减少 审计 开销 。 审 计数 据 必须 予以 保护 , 免 遭 修改 、 破 坏 或 
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非 授权 访问 。 

需求 5; 保证 ”为 保证 安全 策略 .标记 .标识 和 审计 这 四 个 需求 被 正确 实施 ,必须 有 革 
些 硬件 和 软件 实现 这 些 功能 。 这 组 软件 或 硬件 在 典型 情况 下 被 徐 入 操作 系统 中 ,并 设计 
为 以 安全 方式 执行 所 赋予 的 任务 。 

需求 6: 连续 保护 ”实现 这 些 基 本 需求 的 可 信任 机 制 必须 连续 保护 ,避免 自 改 和 非 授 
权 改 变 。 如 果实 现 安全 策略 的 基本 硬件 和 软件 机 制 本 身 易 遭 到 非 授权 修改 或 破坏 , 则 任 
何 这 样 的 计算 机 系统 都 不 能 被 认为 是 真正 安全 的 。 连 续 保 护 需求 在 整个 计算 机 系统 生命 
周期 中 均 有 意义 。 

根据 以 上 六 项 基本 需求 ,TCSEC 在 用 户 登 录 授权 管理 .访问 控制 .审计 跟踪 、 隐 项 通 
道 分 析 、 可 信 通 路 建立 .安全 检测 .生命 周期 保障 文档 写作 等 各 方面 , 均 提 出 了 规范 性 要 
求 , 并 根据 所 采用 的 安全 策略 .系统 所 具备 的 安全 功能 将 系统 分 为 四 类 七 个 安全 级 别 。 亦 
即 D 类 C 类 .B 类 和 A 类 ,以 层次 方式 排序 ,最 高 类 A 代表 安全 性 最 高 的 系统 。 其 中 ， 
C 类 和 B 类 又 有 若干 子 类 称 为 级 ,级 也 以 层次 方式 排序 ,各 级 别 安 全 可 信 性 依次 增高 , 较 
高 级 别 包含 较 低级 别 的 安全 性 。 

在 每 个 级 别 内 ,准则 分 为 四 个 主要 部 分 。 前 三 部 分 叙述 满足 安全 策略 .审计 和 保证 的 
主要 控制 目标 。 第 四 部 分 是 文档 ,描述 文档 的 种 类 ,以 及 编写 用 户 指南 .手册 测试 文档 和 
设计 文档 的 主要 要 求 。 

(1) DD 类 只 包含 一 个 级 别 一 一 D 级 ,是 安全 性 最 低 的 级 别 。 不 满足 任何 较 高 安全 可 
信 性 的 系统 全 部 划 入 D 级 。 该 级 别 说 明 整 个 系统 都 是 不 可 信任 的 。 对 硬件 来 说 ,没有 任 
何 保护 作用 ,操作 系统 容易 受到 损害 ;不 提供 身份 验证 和 访问 控制 。 例 如 , MS-DOS、 
Macintosh System 7. x 等 操作 系统 属于 这 个 级 别 。 

(2) C 类 为 自主 保护 类 (Discretionary Protection)。 该 类 的 安全 特点 在 于 系统 的 对 
象 ( 如 文件 .目录 ) 可 由 其 主体 (如 系统 管理 员 、 用 户 、 应 用 程序 ) 自 定义 访问 权 。 自 主 保护 
类 依据 安全 从 低 到 高 又 分 为 C1.C2 两 个 安全 等 级 。 

D Cl1 级 : 又 称 自主 安全 保护 (Discretionary Security Protection) 系统 ,实际 上 描述 
了 一 个 典型 的 UNIX 系统 上 可 用 的 安全 评测 级 别 。 对 硬件 来 说 ,存在 某 种 程度 的 保护 。 
用 户 必 须 通 过 用 户 注册 名 和 口令 使 系统 识别 ,这 种 组 合用 来 确定 每 个 用 户 对 程序 和 信息 
拥有 什么 样 的 访问 权限 。 具 体 地 说 , 这些 访问 权限 是 文件 和 目录 的 许可 权限 
(permission)。 存 在 一 定 的 自主 存 取 控制 机 制 (DAC), 这 些 自主 存 取 控制 使 文件 和 目录 
的 拥有 者 或 者 系统 管理 员 , 能 够 阻止 某 个 人 或 几 组 人 访问 哪些 程序 或 信息 。UNIX 的 
owner/group/other 存 取 控 制 机制 , 即 一 种 典型 的 事例 。 

但 是 这 一 级 别 没有 提供 阻止 系统 管理 账户 行为 的 方法 ,结果 是 不 审慎 的 系统 管理 员 
可 能 在 无 意 中 损害 了 系统 的 安全 。 

另外 在 这 一 级 别 中 ,许多 日 常 系统 管理 任务 只 能 通过 超级 用 户 执行 。 由 于 系统 无 法 
区 分 哪个 用 户 以 root 身份 注册 系统 执行 了 超级 用 户 命令 ,因而 容易 引发 信息 安全 问题 ， 
且 出 了 问题 以 后 难以 追究 责任 。 

@ C2 级 : 又 称 受 控制 的 存 取 控制 系统 。 它 具有 以 用 户 为 单位 的 DAC 机 制 , 且 引入 
了 审计 机 制 。 
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除 Cl 包 含 的 安全 特征 外 , C2 级 还 包含 其 他 受 控 访问 环境 (controlled-access 
environment) 的 安全 特征 。 该 环境 具有 进一步 限制 用 户 执行 某 些 命令 或 访问 某 些 文件 的 
能 力 , 这 不 仅 基 于 许可 权限 ,而 且 基 于 身份 验证 级 别 。 另 外 ,这 种 安全 级 别 要 求 对 系统 加 
以 审计 ,包括 为 系统 中 发 生 的 每 个 事件 编写 一 个 审计 记录 。 审 计 用 来 跟踪 记录 所 有 与 安 
全 有 关 的 事件 ,例如 那些 由 系统 管理 员 执行 的 活动 。 

(3) B 类 为 强制 保护 类 (Mandatory Protection) 。 该 类 的 安全 特点 在 于 由 系统 强制 的 
安全 保护 ,在 强制 保护 模式 中 ,每 个 系统 对 象 (如 文件 .目录 等 资源 ) 及 主体 (如 系统 管理 
员 ,用户 应 用 程序 ) 都 有 自己 的 安全 标签 CSecurity Label) ,系统 则 依据 主体 和 对 象 的 安 
全 标签 赋予 他 对 访问 对 象 的 存 取 权 限 。 强 制 保护 类 依据 安全 从 低 到 高 又 分 为 Bl1、B2、B3 
三 个 安全 等 级 。 

Q@ Bl 级 或 标记 安全 保护 (Labeled Security Protection) 级 : Bl 级 要 求 具 有 C2 级 的 
全 部 功能 ,并 引入 强制 型 存 取 控制 (MAC) 机 制 ,以 及 相应 的 主体 、 客 体 安全 级 标记 和 标记 
管理 。 它 是 支持 多 级 安全 (例如 秘密 和 绝密 ) 的 第 一 个 级 别 ,这 一 级 别 说 明 一 个 处 于 强制 
性 访问 控制 之 下 的 对 象 , 不 允许 文件 的 拥有 者 改变 其 存 取 许 可 权限 。 

@ B2 级 或 结构 保护 (Structured Protection) 级 : B2 级 要 求 具有 形式 化 的 安全 模型 、 
描述 式 顶 层 设计 说 明 (DTDS) .更 完善 的 MAC 机 制 、 可 信和 通路 机 制 、 系 统 结构 化 设计 、 最 
小 特权 管理 ,隐蔽 通道 分 析 和 处 理 等 安全 特征 。 它 要 求 计算 机 系统 中 所 有 的 对 象 都 加 标 
记 , 而 且 给 设备 (如 磁盘 、 磁 带 或 终端 ) 分 配 单个 或 多 个 安全 级 别 。 这 是 提供 较 高 安全 级 别 
的 对 象 与 男 一 个 较 低 安全 级 别 的 对 象 相互 通信 的 第 一 个 级 别 。 

@ B3 级 或 安全 域 (Security Domain) 级 : B3 级 要 求 具 有 全 面 的 存 取 控制 (访问 监控 ) 
机 制 、 严 格 的 系统 结构 化 设计 及 TCB 最 小 复杂 性 设计 、 审 计 实 时 报告 机 制 、 更 强 的 分 析 和 
解决 隐蔽 通道 问题 能 力 等 安全 特征 。 它 使 用 安装 硬件 的 办 法 增强 域 的 安全 性 ,例如 ,内 存 
管理 硬件 用 于 保护 安全 域 免 遭 无 授权 访问 或 其 他 安全 域 对 象 的 修改 。 该 级 别 也 要 求 用 户 
的 终端 通过 一 条 可 信任 途径 连接 到 系统 上 。 

(4) A 类 为 验证 保护 类 (Verify Design) : A 类 是 当前 橘 皮 书 中 最 高 的 安全 级 别 ， 
它 包 含 了 一 个 严格 的 设计 、 控 制 和 验证 过 程 。 与 前 面 提 到 的 各 级 别 一 样 。 这 一 级 包 
含 了 较 低 级 别 的 所 有 特性 。 设 计 必 须 是 从 数学 上 经 过 验证 的 ,而 且 必 须 进行 隐蔽 通 
道 和 可 信任 分 布 的 分 析 。 可 信任 分 布 (Trusted Distribution) 的 含义 是 ,硬件 和 软件 在 
传输 过 程 中 已 经 受到 保护 ,不 可 能 破坏 安全 系统 。 验 证 保护 类 只 有 一 个 安全 等 级 ， 
即 Al 级 。 

Al 级 要 求 具有 系统 形式 化 顶层 设计 说 明 (FTDS) ,并 形式 化 验证 FTDS 与 形式 化 模 
型 的 一 致 性 ,以 及 用 形式 化 技术 解决 隐蔽 通道 问题 等 。 

美国 国防 部 采购 的 系统 要 求 其 安全 级 别 至 少 达 到 B 类 ,商业 用 途 的 系统 也 追求 达到 
C 类 安全 级 别 。 但 是 ,国外 厂商 向 我 国 推销 安全 功能 符合 TCSEC B 类 和 以 上 级 别 的 计算 
机 系统 是 限制 的 。 因 此 ,自主 开发 符合 TCSEC 中 B 类 安全 功能 的 安全 操作 系统 一 直 是 
我 国 近 几 年 来 研究 的 热点 。TCSEC 从 Bl 到 B2 的 升级 ,在 美国 被 认为 是 安全 操作 系统 
设计 开发 中 , 单 级 增强 最 为 困难 的 一 个 阶段 。 所 以 目前 设计 实现 TCSEC B2 级 的 安全 操 
作 系 统 依然 是 我 国 研究 人 员 很 难 达到 的 开发 目标 。 

237 


ee 操作 系统 安全 (第 2 版 ) ES 


我 国 国标 GB 17859 一 1999 基本 上 是 参照 美国 TCSEC 制定 的 ,但 将 计算 机 信息 系统 
安全 保护 能 力 划 分 为 五 个 等 级 ,第 五 级 是 最 高 安全 等 级 。 一 般 认为 我 国 GB 17859 一 1999 
的 第 四 级 对 应 于 TCSEC B2 级 ,第 五 级 对 应 于 TCSEC B3 级 。 

下 面 分 别 介绍 TCSEC B2 级 和 B3 级 的 详细 内 容 , 其 他 各 级 别 的 具体 内 容 , 限 于 篇 幅 
就 不 再 介绍 了 。 


2 TCSEC 的 妃 级 详细 内 容 

在 符合 TCSEC 的 B2 级 安全 系统 中 ,TCB 基于 清晰 定义 和 编制 成 文档 的 形式 安全 模 
型 , 它 要 求 将 Bl 级 建立 的 自主 存 取 控制 和 强制 存 取 控制 实现 扩充 到 系统 的 所 有 主体 和 
对 象 。 此 外 ,隐蔽 通道 被 指明 。TCB 需要 仔细 构造 为 临界 保护 元 素 和 非 临界 保护 元 素 。 
TCB 接口 是 严格 定义 的 ,TCB 设计 和 实现 使 其 能 进行 详细 测试 和 更 完备 复查 。 鉴 别 机 制 
被 加 强 , 并 强制 建立 严格 的 配置 管理 机 制 。 

下 面 是 对 B2 级 系统 的 最 低 要 求 。 

1) 自主 存 取 控制 

TCB 定义 和 控制 系统 中 命名 用 户 和 命名 对 象 ( 如 文件 和 程序 ) 之 间 的 存 取 。 实 施 机 
制 ( 如 用 户 / 用 户 组 /公用 控制 表 ) 允 许 用 户 指 定 和 控制 命名 用 户 ( 或 定义 的 用 户 组 或 二 者 ) 
共享 命名 对 象 ,并 提供 控制 限制 存 取 权限 的 扩散 。 自 主 存 取 控 制 机 制 ,能 在 单个 用 户 粒 度 
下 进行 蕴涵 存 取 或 取消 存 取 。 

2) 客体 重用 

释放 一 个 客体 时 ,将 释放 其 目前 所 保存 的 所 有 信息 。 当 它 再 次 分 配 时 ,新 主体 将 不 能 
据 此 获得 原 主体 的 任何 信息 。 

3) 标记 

对 于 由 TCB 之 外 的 主体 可 直接 或 间接 存 取 的 每 个 系统 资源 (例如 主体 、 存 储 对 象 、 
ROM) ,与 其 相关 联 的 敏感 标记 要 由 TCB 进行 维护 。 这 些 标记 被 用 作 强 制 存 取 控制 进行 
决策 的 依据 。 为 引入 无 标记 数据 ,TCB 请 求 并 从 授权 用 户 接 收 该 数据 的 安全 级 ,所 有 这 
样 的 活动 都 必须 是 TCB 可 审计 的 。 

4) 标记 完整 性 

敏感 标记 要 准确 表示 指定 主体 和 对 象 的 安全 级 。 当 由 TCB 输出 时 ,敏感 标记 要 准确 
而 无 二 义 地 表示 内 部 标记 ,并 与 所 输出 的 信息 相对 应 。 

5) 输出 有 标记 的 信息 

对 于 每 个 通信 通道 和 I/O 设备 ,TCB 要 将 其 标记 成 单 级 的 或 多 级 的 设备 。 这 种 标记 
的 任何 改变 均 要 由 人 工 完成 ,并 要 通过 TCB 的 审计 。 与 通信 通道 或 1/O 设备 对 应 的 安全 
级 (一 级 或 几 级 ) 的 任何 改变 ,TCB 应 能 审计 。 

6) 输出 到 多 级 设备 

当 TCB 将 一 个 对 象 输出 到 多 级 MO 设备 时 ,与 此 对 象 对 应 的 敏感 标记 也 要 输出 ,并 
驻 留 在 与 输出 信息 相同 的 物理 介质 上 。 当 TCB 将 一 个 对 象 在 多 级 通信 通道 上 输出 或 输 
入 时 ,为 使 敏感 标记 与 被 发 送 或 接收 的 信息 之 间 进 行 准确 无 二 义 的 对 应 ,应 提供 该 通道 所 
使 用 的 协议 。 
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7) 输出 到 单 级 设备 

单 级 I/O 设备 和 单 级 通道 不 要 求 保持 它们 所 处 理 的 信息 的 敏感 标记 。 然 而 ,TCB 要 
提供 一 种 供 TCB 和 授权 用 户 可 靠 地 通信 的 机 制 , 以 便 经 过 单 级 通信 通道 或 I/O 设备 输出 
输入 后 ,对 信息 加 上 单 安全 级 的 标记 。 

8) 人 可 读 输出 加 标记 

系统 管理 员 应 能 指定 与 输出 敏感 标记 相对 应 的 可 打印 标记 名 。 对 所 有 的 人 可 读 输 出 
(例如 行 式 打 印 机 输出 ) 的 开始 和 结束 处 ,TCB 都 加 上 人 可 读 敏感 标记 ,以 正确 表示 该 输 
出 的 敏感 性 。 根 据 默认 ,对 人 可 读 输 出 (例如 行 式 打印 机 输出 ) 各 页 的 顶部 和 底部 ,TCB 
都 加 上 人 可 读 敏感 标记 ,以 正确 表示 该 输出 的 整体 敏感 性 或 正确 表示 该 页 上 信息 的 敏感 
性 。 这 些 标 记 都 是 TCB 可 审计 的 。 

9) 主体 敏感 标记 

TCB 应 能 立即 观察 到 终端 用 户 在 交互 会 话 期 间 与 该 用 户 对 应 的 安全 级 的 任何 改变 。 

10) 设备 标记 

TCB 支持 为 所 有 已 连接 的 物理 设备 设置 安全 级 ,并 加 上 设备 安全 标记 。 

11) 强制 存 取 控制 

TCB 对 于 由 TCB 以 外 的 主体 可 直接 或 间接 存 取 的 所 有 资源 ( 即 主体 、 存 储 对 象 和 
1/O 设 备 ) ,要 实施 强制 存 取 控制 策略 。 对 这 些 主体 和 对 象 要 赋予 敏感 标记 ,标记 是 有 层 
次 的 级 和 无 层次 的 范畴 的 组 合 . 并 被 用 作 强 制 存 取 控 制 进行 决策 的 依据 。 具 体 要 求 是 ， 
一 个 主体 能 够 读 一 个 对 象 , 当 且 仅 当 主体 的 安全 级 中 有 层次 的 级 大 于 或 等 于 对 象 安全 级 
中 有 层次 的 级 ,并 且 主 体 安全 级 中 无 层次 的 范畴 包含 对 象 安 全 级 中 所 有 无 层次 的 范畴 。 
一 个 主体 能 够 写 一 个 对 象 , 当 且 仅 当 主体 的 安全 级 中 有 层次 的 级 小 于 或 等 于 对 象 安全 级 
中 有 层次 的 级 ,并 且 主 体 安全 级 中 无 层次 的 范畴 被 对 象 安全 级 中 无 层次 的 范畴 包含 。 标 
识 和 鉴别 数据 将 由 TCB 使 用 ,对 用 户 进 行 标识 和 鉴别 。 

12) 标识 和 鉴别 

TCB 要 求 用 户 先进 行 自 身 识 别 , 之 后 才 开 始 执行 需要 TCB 控制 的 任何 其 他 活动 。 
此 外 ,TCB 要 维护 鉴别 数据 ,不 仅 包括 各 个 用 户 的 许可 证 和 授权 信息 ,而 且 包括 为 验证 各 
用 户 标识 所 需 的 信息 (如 口令 )。 此 数据 将 由 TCB 使 用 ,对 用 户 标 识 进 行 鉴别 ,并 对 代表 
各 个 用 户 活动 能 创建 的 TCB 之 外 的 主体 ,确保 其 安全 级 和 授权 是 受 那 个 用 户 的 许可 证 和 
授权 支配 的 。TCB 要 保护 鉴别 数据 ,以 便 不 被 任何 非 授 权 用 户 存 取 。TCB 还 要 提供 关于 
标识 和 鉴别 的 审计 功能 。 

13) 可 信和 通路 

TCB 要 支持 它 本 身 与 用 户 之 间 的 可 信任 通信 路 径 ,以 便 进行 初始 登录 和 鉴别 。 

14) 审计 

TCB 对 于 它 所 保护 的 对 象 ,要 能 够 建立 和 维护 对 其 进行 存 取 的 审计 踪迹 ,并 保护 该 
踪迹 不 被 修改 或 非 授权 存 取 和 破坏 。 审 计数 据 要 受 TCB 保护 。TCB 应 能 记录 下 列 类 型 
的 事件 : 标识 和 鉴别 机 制 的 使 用 ,对 象 引 用 用 户 地 址 空间 (如 文件 打开 、 程 序 初始 启动 )， 
删除 对 象 ,计算 机 操作 员 和 系统 管理 员 或 系统 安全 员 进 行 的 活动 ,以 及 其 他 与 安全 有 关 的 
事件 。TCB 还 应 能 对 人 可 读 输 出 标记 的 任何 复 盖 进行 审计 。 对 所 记录 的 每 一 个 事件 , 审 

239 


ee 操作 系统 安全 (第 2 版 ) ES 


计 记 录 要 标识 : 该 事件 的 日 期 和 时 间 用户、 事件 类 型 .该 事件 的 成 功 或 失败 。 对 于 标识 / 
鉴别 事件 ,请 求 的 来 源 (如 终端 ID) 要 包括 在 该 审计 记录 中 。 对 于 将 对 象 引进 用 户 地 址 空 
间 事 件 和 对 象 删除 事件 ,审计 记录 要 包括 该 对 象 的 安全 级 。 系 统管 理 员 应 能 根据 各 用 户 
标识 和 对 象 安 全 级 ,对 任 一 个 或 几 个 用 户 的 活动 有 选择 地 进行 审计 。 对 于 可 用 于 隐蔽 存 
储 通道 使 用 的 标识 事件 ,TCB 应 能 进行 审计 。 

15) 系统 体系 结构 

TCB 应 保护 其 自身 执行 的 区 域 ,使 其 免 受 外 部 干预 。TCB 应 能 提供 不 同 的 地 址 空间 
保证 进程 隔离 ,要 从 内 部 构造 良好 定义 的 基本 独立 的 模块 ,以 便 有 效 地 利用 硬件 资源 ,将 
属于 临界 保护 的 元 素 与 非 临 界 保护 元 素 区 分 开 来 。TCB 模块 的 设计 应 遵循 最 小 特权 原 
则 。 硬 件 特性 如 分 段 ,将 用 于 支持 具有 不 同属 性 的 逻辑 上 不 同 的 存储 对 象 。 对 TCB 的 用 
户 接口 定义 要 完全 , 且 TCB 的 全 部 元 素 要 进行 标识 。 

16) 隐蔽 通道 分 析 

系统 开发 者 要 对 隐蔽 存储 通道 进行 全 面 搜索 ,并 确定 (采用 实际 测量 或 工程 估价 ) 每 
个 被 标识 通道 的 最 大 带宽 。 

17) 可 信任 机 构 管理 

TCB 要 支持 单独 的 操作 员 和 管理 员 功 能 。 

18) 安全 测试 

系统 的 安全 机 制 要 经 过 测试 ,并 确认 依据 系统 文档 的 要 求 进行 工作 。 由 充分 理解 该 
TCB 特定 实现 的 人 员 组 成 的 小 组 ,对 其 设计 文档 、 源 代码 和 目标 代码 进行 全 面 的 分 析 和 
测试 。 他 们 的 目标 是 : 纠正 所 有 被 发 现 的 缺陷 ,并 重新 测试 TCB 表明 缺陷 已 被 消除 ,而 
且 没 有 引进 新 的 缺陷 。 测 试 将 说 明 ,该 TCB 的 实现 符合 描述 性 顶层 规范 。 

19) 设计 规范 和 验证 

在 系统 的 生命 周期 内 ,TCB 支持 的 安全 策略 形式 模型 始终 有 效 ,TCB 的 描述 性 顶层 
规范 (DTLS) 始 终 有 效 。 

20) 配置 管理 

在 TCB 的 开发 和 维护 期 间 , 配 置 管理 系统 要 保持 与 当前 TCB 版 本 对 应 的 所 有 文档 
与 代码 之 间 映 射 关系 的 一 致 性 。 要 提供 由 源 代码 生成 新 版 TCB 的 工具 。 还 要 有 适当 工 
具 , 对 新 生成 的 TCB 版 本 与 前 一 版 本 进行 比较 ,以 便 肯 定 实际 使 用 的 新 版 TCB 代码 中 只 
进行 了 所 要 求 的 改变 。 

21) 安全 特性 用 户 指 南 

用 户 文档 中 单独 的 一 节 一 章 或 手册 ,对 TCB 提供 的 保护 机 制 和 使 用 方法 进行 描述 。 

22) 可 信任 机 制 手册 

针对 系统 管理 员 的 手册 应 当 说 明 在 运行 安全 机 制 时 ,应 用 有 关 功 能 和 特权 时 的 注意 
事项 ,每 种 类 型 审计 事件 的 详细 审计 记录 结构 ,以 及 检查 和 维护 审计 文件 的 过 程 。 该 手册 
还 要 说 明 与 安全 有 关 的 操作 员 和 管理 员 功 能 ,例如 改变 用 户 的 安全 特性 。 如 何 安全 地 生 
成 新 的 TCB ,也 要 了 予以 说 明 。 

23) 测试 文档 

系统 开发 人 员 要 向 评测 人 员 提 供 一 个 文档 ,说 明 测试 计划 ,描述 安全 机 制 的 测试 过 
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程 , 以 及 安全 机 制 功能 测试 的 结果 。 测 试 文档 还 应 包括 ,为 减少 隐蔽 通道 带宽 所 用 的 方 
法 ,以 及 测试 的 结果 。 

24) 设计 文档 

设计 文档 提供 生产 厂商 关于 系统 保护 原理 的 描述 ,并 且说 明 如 何 将 该 原理 转换 成 
TCB。 设 计 文档 应 当 说 明 , 由 TCB 实施 的 安全 策略 模型 可 以 实施 该 安全 策略 。 文 档 要 描 
述 ,TCB 如 何 防 算 改 ,不 能 被 迁 回 绕 过 ;TCB 如 何 进行 构造 以 便于 测试 和 实施 最 小 特权 
等 。 此 外 ,描绘 性 顶层 规范 (DTLS) 应 准确 描述 TCB 接口 。 


3. TCSEC 的 BB 级 详细 内 容 

在 符合 TCSEC 的 B3 级 安全 系统 中 ,可 信 计 算 基 要 满足 访问 监控 器 需求 。 访 问 监控 
右 仲 裁 主体 对 客体 的 全 部 访问 。 访问 监控 器 本 身 是 抗 自 改 的 ;必须 足够 小 ,能 够 分 析 和 测 
试 。 为 了 满足 访问 监控 器 需求 ,计算 机 信息 系统 可 信 计 算 基 在 其 构造 时 ,排除 那些 对 实施 
安全 策略 来 说 并 非 必 要 的 代码 ;在 设计 和 实现 时 ,从 系统 工程 角度 将 其 复杂 性 降低 到 最 小 
程度 。 支 持 安全 管理 员 职能 ;扩充 审计 机 制 , 当 发 生 与 安全 相关 的 事件 时 发 出 信号 ;提供 
系统 恢复 机 制 。 系 统 具 有 很 高 的 抗 渗透 能 力 。 

下 面 是 对 B3 级 系统 的 最 低 要 求 。 

1) 自主 存 取 控制 

TCB 定义 和 控制 系统 中 命名 用 户 和 命名 对 象 ( 如 文件 和 程序 ) 之 间 的 存 取 。 实 施 机 
制 (如 用 户 / 用 户 组 /公用 控制 表 ) 允 许 用 户 指定 和 控制 命名 用 户 ( 或 定义 的 用 户 组 或 二 者 ) 
共享 命名 对 象 , 并 提供 控制 限制 存 取 权限 的 扩散 。 自 主 存 取 控制 机 制 ,能 在 单个 用 户 粒 度 
下 进行 蕴涵 存 取 或 取消 存 取 。 


2) 客体 重用 

释放 一 个 客体 时 ,将 释放 其 目前 所 保存 的 所 有 信息 。 当 它 再 次 分 配 时 ,新 主体 将 不 能 
据 此 获得 原 主体 的 任何 信息 。 

3) 标记 


对 于 由 TCB 之 外 的 主体 可 直接 或 间接 存 取 的 每 个 系统 资源 (例如 主体 .存储 对 象 、 
ROM) ,与 其 相关 联 的 敏感 标记 要 由 TCB 进行 维护 。 这 些 标 记 被 用 作 强 制 存 取 控 制 进行 
决策 的 依据 。 为 引入 无 标记 数据 ,TCB 请 求 并 从 授权 用 户 接收 该 数据 的 安全 级 ,所 有 这 
样 的 活动 都 必须 是 TCB 可 审计 的 。 

4) 标记 完整 性 

敏感 标记 要 准确 表示 指定 主体 和 对 象 的 安全 级 。 当 由 TCB 输出 时 ,敏感 标记 要 准确 
而 无 二 义 地 表示 内 部 标记 ,并 与 所 输出 的 信息 相对 应 。 

5) 输出 有 标记 的 信息 

对 于 每 个 通信 通道 和 1/O 设备 ,TCB 要 将 其 标记 成 单 级 的 或 多 级 的 设备 。 这 种 标记 
的 任何 改变 均 要 由 人 工 完 成 ,并 要 通过 TCB 的 审计 。 与 通信 通道 或 IO 设备 对 应 的 安全 
级 (一 级 或 几 级 ) 的 任何 改变 ,TCB 应 能 审计 。 

6) 输出 到 多 级 设备 

当 TCB 将 一 个 对 象 输出 到 多 级 1/O 设备 时 ,与 此 对 象 对 应 的 敏感 标记 也 要 输出 ,并 
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驻 留 在 与 输出 信息 相同 的 物理 介质 上 。 当 TCB 将 一 个 对 象 在 多 级 通信 通道 上 输出 或 输 
入 时 ,为 使 敏感 标记 与 被 发 送 或 接收 的 信息 之 间 进 行 准确 无 二 义 的 对 应 ,应 提供 该 通道 所 
使 用 的 协议 。 

7) 输出 到 单 级 设备 

单 级 I/O 设备 和 单 级 通道 不 要 求 保 持 它们 所 处 理 的 信息 的 敏感 标记 。 然 而 ,TCB 要 
提供 一 种 供 TCB 和 授权 用 户 可 靠 地 通信 的 机 制 , 以 便 经 过 单 级 通信 通道 或 1/O 设备 输出 
输入 后 ,对 信息 加 上 单 安全 级 的 标记 。 

8) 人 可 读 输出 加 标记 

系统 管理 员 应 能 指定 与 输出 敏感 标记 相对 应 的 可 打印 标记 名 。 对 所 有 的 人 可 读 输 出 
(例如 行 式 打印 机 输出 ) 的 开始 和 结束 处 ,TCB 都 加 上 人 可 读 敏感 标记 ,以 正确 表示 该 输 
出 的 敏感 性 。 根 据 默认 ,对 人 可 读 输 出 (例如 行 式 打印 机 输出 ) 各 页 的 顶部 和 底部 ,TCB 
都 加 上 人 可 读 敏感 标记 ,以 正确 表示 该 输出 的 整体 敏感 性 或 正确 表示 该 页 上 信息 的 敏感 
性 。 这 些 标 记 都 是 TCB 可 审计 的 。 

9) 主体 敏感 标记 

TCB 应 能 立即 观察 到 终端 用 户 在 交互 会 话 期 间 与 该 用 户 对 应 的 安全 级 的 任何 
改变 。 

10) 设备 标记 

TCB 支持 为 所 有 已 连接 的 物理 设备 设置 安全 级 ,并 加 上 设备 安全 标记 。 

11) 强制 存 取 控制 

TCB 对 于 由 TCB 以 外 的 主体 可 直接 或 间接 存 取 的 所 有 资源 ( 即 主 体 、 存 储 对 象 和 
1/O 设 备 ) ,要 实施 强制 存 取 控 制 策 略 。 对 这 些 主 体 和 对 象 要 赋予 敏感 标记 ,标记 是 有 层 
次 的 级 和 无 层次 的 范畴 的 组 合 ,并 被 用 作 强 制 存 取 控 制 进行 决 策 的 依据 。 具 体 要 求 是 : 
一 个 主体 能 够 读 一 个 对 象 , 当 且 仅 当 主体 的 安全 级 中 有 层次 的 级 大 于 或 等 于 对 象 安全 级 
中 有 层次 的 级 ,并 且 主 体 安全 级 中 无 层次 的 范畴 包含 对 象 安全 级 中 所 有 无 层次 的 范畴 。 
一 个 主体 能 够 写 一 个 对 象 , 当 且 仅 当 主体 的 安全 级 中 有 层次 的 级 小 于 或 等 于 对 象 安全 级 
中 有 层次 的 级 ,并 且 主 体 安全 级 中 无 层次 的 范畴 被 对 象 安全 级 中 无 层次 的 范畴 包含 。 标 
识 和 鉴别 数据 将 由 TCB 使 用 ,对 用 户 进 行 标识 和 鉴别 。 

12) 标识 和 鉴别 

TCB 要 求 用 户 先 进行 自身 识别 ,之 后 才 开 始 执行 需要 TCB 控制 的 任何 其 他 活动 。 
此 外 ,TCB 要 维护 鉴别 数据 ,不 仅 包括 各 个 用 户 的 许可 证 和 授权 信息 ,而 且 包 括 为 验证 各 
用 户 标识 所 需 的 信息 (如 口令 )。 此 数据 将 由 TCB 使 用 ,对 用 户 标 识 进 行 鉴 别 , 并 对 代表 
各 个 用 户 活动 能 创建 的 TCB 之 外 的 主体 ,确保 其 安全 级 和 授权 是 受 那个 用 户 的 许可 证 和 
授权 支配 的 。TCB 要 保护 鉴别 数据 ,以 便 不 被 任何 非 授权 用 户 存 取 。TCB 还 要 提供 关于 
标识 和 鉴别 的 审计 功能 。 

13) 可 信和 通路 

当 要 求 TCB 到 用 户 的 连接 时 (例如 登录 和 改变 主体 安全 级 等 ),TCB 要 支持 它 本 身 
与 用 户 之 间 的 可 信任 通信 路 径 。 可 信 路 径 上 的 通信 只 能 由 该 用 户 或 计算 机 信息 系统 可 信 
计算 基 激 活 , 且 在 逻辑 上 与 其 他 路 径 上 的 通信 相隔 离 , 且 能 正确 地 加 以 区 分 。 
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14) 审计 

TCB 对 于 它 所 保护 的 对 象 ,要 能 够 建立 和 维护 对 其 进行 存 取 的 审计 踪迹 ,并 保护 
该 踪迹 不 被 修改 或 非 授 权 存 取 和 破坏 。 审 计数 据 要 受 TCB 保护 。TCB 应 能 记录 下 列 
类 型 的 事件 : 标识 和 鉴别 机 制 的 使 用 ,对 象 引 用 用 户 地 址 空间 (如 文件 打开 、 程 序 初 始 
启动 ) ,删除 对 象 ,计算 机 操作 员 和 系统 管理 员 或 系统 安全 员 进 行 的 活动 ,以 及 其 他 与 
安全 有 关 的 事件 。TCB 还 应 能 对 人 可 读 输 出 标记 的 任何 覆盖 进行 审计 。 对 所 记录 的 
每 一 个 事件 ,审计 记录 要 标识 : 该 事件 的 日 期 和 时 间 、 用 户 事件 类 型 该 事件 的 成 功 或 
失败 。 对 于 标识 /鉴别 事件 ,请 求 的 来 源 (如 终端 ID) 要 包括 在 该 审计 记录 中 。 对 于 将 
对 象 引进 用 户 地 址 空间 事件 和 对 象 删除 事件 ,审计 记录 要 包括 该 对 象 的 安全 级 。 系 统 
管理 员 应 能 根据 各 用 户 标识 和 对 象 安全 级 ,对 任 一 个 或 几 个 用 户 的 活动 有 选择 地 进行 
审计 。 对 于 可 用 于 隐蔽 存储 通道 使 用 的 标识 事件 ,TCB 应 能 进行 审计 。TCB 应 包含 能 
监视 可 审计 安全 事件 发 生 与 积累 的 机 制 。 当 上 述 事 件 超过 阅 值 时 ,该 机 制 能 立即 向 安 
全 管理 员 发 出 报警 。 如 果 这 些 安全 相关 事件 继续 发 生 和 积累 ,系统 应 以 最 小 代价 中 止 
它们 。 

15) 系统 体系 结构 

TCB 应 保护 其 自身 执行 的 区 域 ,使 其 免 受 外 部 干预 。TCB 应 能 提供 不 同 的 地 址 空 
间 保 证 进程 隔离 。TCB 要 从 内 部 被 构造 成 良好 定义 的 基本 上 独立 的 模块 ,有 效 地 利用 
可 用 硬件 ,将 属于 临界 保护 的 元 素 与 非 临界 保护 元 素 区 分 开 来 。TCB 模块 的 设计 应 遵 
循 最 小 特权 原则 。 硬 件 特性 如 分 段 , 将 用 于 支持 具有 不 同属 性 的 逻辑 上 不 同 的 存储 对 
象 。 对 TCB 的 用 户 接口 定义 要 完全 ,上 且 TCB 的 全 部 元 素 要 进行 标识 。TCB 应 被 设计 
和 构造 成 使 用 完整 的 .概念 上 简单 .语义 精确 定义 的 保护 机 制 。 这 个 机 制 应 在 实施 
TCB 与 系统 的 内 部 构造 中 起 到 核心 作用 。TCB 应 充分 使 用 分 层 化 、 抽 象 化 和 数据 隐 
藏 。 应 从 系统 工程 的 角度 将 TCB 的 复杂 性 降低 到 最 小 程度 ,并 从 TCB 中 排除 与 安全 
保护 无 关 的 代码 。 

16) 系统 完整 性 

要 提供 可 以 用 于 周期 性 验证 TCB 硬件 和 固件 要 素 的 操作 正确 性 的 硬件 或 软件 
功能 。 

17) 隐蔽 通道 分 析 

系统 开发 者 要 对 隐蔽 通道 进行 全 面 搜索 ,并 确定 (采用 实际 测量 或 工程 估价 ) 每 个 被 
标识 通道 的 最 大 带宽 。 

18) 可 信任 机 构 管 理 

TCB 要 支持 单独 的 操作 员 和 管理 员 功 能 。 要 标识 以 安全 管理 员 角 色 执 行 的 函数 。 
在 采取 明确 的 可 审计 动作 以 假定 安全 管理 员 角 色 之 后 ,系统 管理 人 员 仅 仅 可 以 执行 安全 
管理 功能 。 要 严格 限制 用 安全 管理 员 角 色 执 行 的 安全 无 关 功 能 ,使 之 仅 够 有 效 执 行 安全 
角色 。 

19) 可 信人 恢复 

计算 机 信息 系统 可 信 计 算 基 提供 过 程 和 机 制 , 保 证 计算 机 信息 系统 失效 或 中 断后 ,可 
以 进行 不 损害 任何 安全 保护 性 能 的 恢复 。 
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20) 安全 测试 

系统 的 安全 机 制 要 经 过 测试 ,并 确认 依据 系统 文档 的 要 求 进行 工作 。 由 充分 理解 
该 TCB 特定 实现 的 人 员 组 成 的 小 组 ,对 其 设计 文档 、 源 代码 和 目标 代码 进行 全 面 的 分 
析 和 测试 。 他 们 的 目标 是 : 纠正 所 有 被 发 现 的 缺陷 ,并 重新 测试 TCB 表明 缺陷 已 被 消 
除 ,而 且 没 有 引进 新 的 缺陷 。 测 试 将 说 明 , 该 TCB 的 实现 符合 描述 性 顶层 规范 。 测 试 
后 的 系统 应 没有 设计 缺陷 ,可 以 有 少量 可 以 纠正 的 实现 缺陷 ,同时 可 以 容忍 少量 缺陷 
未 被 发 现 。 

21) 设计 规范 和 验证 

在 系统 的 生命 周期 内 ,TCB 支持 的 安全 策略 形式 模型 应 始终 有 效 , 并 要 证 明 该 形式 
模型 与 其 公理 的 一 致 性 。TCB 的 描述 性 顶层 规范 CDTLS) 要 用 例外 .出 错 消息 和 效果 等 
完备 并 精确 地 描述 TCB。 要 表明 对 TCB 接口 的 描述 是 精确 的 。 要 给 出 DTLS 与 模型 一 
致 性 的 可 信服 论证 。 

22) 配置 管理 

在 TCB 的 开发 和 维护 期 间 , 配 置 管理 系统 要 保持 与 当前 TCB 版 本 对 应 的 所 有 文档 
与 代码 之 间 映 射 关系 的 一 致 性 。 要 提供 由 源 代码 生成 新 版 TCB 的 工具 。 还 要 有 适当 工 
具 , 对 新 生成 的 TCB 版 本 与 前 一 版 本 进行 比较 ,以 便 肯 定 实际 使 用 的 新 版 TCB 代码 中 只 
进行 了 所 要 求 的 改变 。 

23) 安全 特性 用 户 指 南 

用 户 文档 中 单独 的 一 节 一 章 或 手册 ,对 TCB 提供 的 保护 机 制 和 使 用 方法 进行 描述 。 

24) 可 信任 机 制 手册 

针对 系统 管理 员 的 手册 应 当 说 明 在 运行 安全 机 制 时 ,应 用 有 关 功 能 和 特权 时 的 注意 
事项 ,每 种 类 型 审计 事件 的 详细 审计 记录 结构 ,以 及 检查 和 维护 审计 文件 的 过 程 。 该 手册 
还 要 说 明 与 安全 有 关 的 操作 员 和 管理 员 功 能 ,例如 改变 用 户 的 安全 特性 。 如 何 安全 地 生 
成 新 的 TCB, 也 要 予以 说 明 。 要 包含 确保 系统 以 安全 方式 启动 的 过 程 ,还 要 包含 在 系统 
操作 失误 后 重新 开始 系统 操作 的 过 程 。 

25) 测试 文档 

系统 开发 人 员 要 向 评测 人 员 提 供 一 个 文档 ,说 明 测 试 计划 ,描述 安全 机 制 的 测试 过 
程 ,以 及 安全 机 制 功能 测试 的 结果 。 测 试 文档 还 应 包括 ,为 减少 隐蔽 通道 带宽 所 用 的 方 
法 ,以 及 测试 的 结果 。 

26) 设计 文档 

设计 文档 提供 生产 厂商 关于 系统 保护 原理 的 描述 ,并 且说 明 如 何 将 该 原理 转换 成 
TCB。 设 计 文档 应 当 说 明 , 由 TCB 实施 的 安全 策略 模型 可 以 实施 该 安全 策略 。 文 档 要 描 
述 ,TCB 如 何 防 自 改 ,不 能 被 迁 回 绕 过 ;TCB 如 何 进行 构造 以 便于 测试 和 实施 最 小 特权 
等 。 此 外 ,描绘 性 顶层 规范 (DTLS) 应 准确 描述 TCB 接口 。 

4 通过 TCSEC 评 测 认证 的 部 分 系统 

表 9-2 给 出 通过 美国 国家 计算 机 安全 中 心 NCSC 评测 的 若干 安全 系统 。 

近年 来 ,也 出 现 了 由 美国 国家 安全 局 (NSA) 评 测 的 可 信 产 品 , 如 表 9-3 所 示 。 
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年 


表 9-2 通过 美国 国家 计算 机 安全 中 心 评测 的 若干 安全 系统 


操作 系统 安全 评测 


制 造 商 系 统 等 级 
HFS 公司 UNIX 操作 系统 XTS-200B 版 本 STOP3. 1E B3 
TIS 公 司 可 信 XENIX3.0 操作 系统 B2 
TIS 公司 UNIX 操作 系统 ,V/MLS,Release 1.2 Bl 
SW 公司 CMW1.0 Bl 
并 行 计算 机 公司 可 信 OS/32Release08-03. 3s C2 
Convex 公司 OS/Secure V10. 0UNIX 操作 系统 C2 
HP 公司 MPE V/E Release GO3. 04 C2 
波音 公司 MLS LAN 安全 网 络 服务 器 Al 
控制 数据 公司 网 络 操作 系统 (NOS) CZ 
表 9-3 通过 美国 国家 安全 局 评测 的 若干 安全 系统 
制 造 商 系 统 等 级 
Boeing Company MLS LAN OS Al 
Wang Federal. Inc XTS-200 STOP 3. 1E,3.2E,4.1,4.1a B3 
TIS. Inc Trusted XENIX 3.0,Trusted XENIX 4.0 B2 
General Kinnetics Co. VSLAN5.0,VSLANES. 1,VSLANE6.0 B2 
Amdahl Corporation UTS/MLS, Version2. 1. 5 十 Bl 
Digital Equipment Co. SEVMS VAX Version6.0,Version6.1 Bl 
Digital Equipment Co. SEVMS VAX Version and Alpha Version6. 1 Bl 
Digital Equipment Co. ULTRIX MLS 十 Version2. 1 on VAX Station3100 Bl 
Harris Computer System Co. CX/SX6. 1.1,CX/SX6.2.1 Bl 
Harris Computer System Co. CX/SX with LAN/SX6. 1,CX/SX with LAN/SX6.2.1 Bl 
HP Corporation HP-UX BLS Release8. 04, Release9. 0. 9 十 Bl 
Silicon Graphics Inc Trusted IRIX/B Release4. 0.5EPL Bl 
Unisys Co. OS 1100Security Release I Bl 
Uy: OS 1100/2200 Release SB3R6, Release SB3R8, Release Bl 
SB4R2，Release SB4R7 
Crar Reseach Inc Trusted UNICOS8.0 Bl 
Data General Co. AOS/VS [ Release 3. 01.Release 3. 10 C2 
Microsoft Co. Windows NT Version 3.5 C2 


245 


ee 操作 系统 安全 (第 2 版 ) ES 


933 中国 国标 GB 17859 一 1999 


1999 年 10 月 19 日 中 国 国 家 技术 监督 局 发 布 了 中 华人 民 共 和 国 国 家 标准 
GB 17859 一 199% 计算 机 信息 系统 安全 保护 等 级 划分 准则 》, 该 准则 参考 了 美国 橘 皮 书 
《可 信 计 算 机 系统 评估 准则 》CTCSEC) 和 《可 信 计 算 机 网 络 系统 说 明 》(NCSC-TG-005) ,将 
计算 机 信息 系统 安全 保护 能 力 划分 为 五 个 等 级 , 即 : 

。 第 一 级 “用 户 自主 保护 级 ; 

。 第 二 级 “系统 审计 保护 级 ; 

。 第 三 级 “安全 标记 保护 级 ; 

。 第 四 级 ”结构 化 保护 级 ; 

。 第 五 级 ”访问 验证 保护 级 。 

计算 机 信息 系统 安全 保护 能 力 随 着 安全 保护 等 级 的 增高 ,逐渐 增强 。 


1. 第 一 级 ”用户 自 主 保护 级 

每 个 用 户 对 属于 他 们 自己 的 客体 具有 控制 权 , 如 不 允许 其 他 用 户 写 他 的 文件 而 允许 
其 他 用 户 读 他 的 文件 。 存 取 控 制 的 权限 可 基于 三 个 层次 : 客体 的 属 主 、 同 组 用 户 、 其 他 任 
何 用 户 。 另 外 ,系统 中 的 用 户 必 须 用 一 个 注册 名 和 一 个 口令 验证 其 身份 ,目的 在 于 标明 主 
体 是 以 某 个 用 户 的 身份 进行 工作 的 ,避免 非 授 权 用 户 登录 系统 。 同 时 要 确保 非 授 权 用 户 
不 能 访问 和 修改 “用 来 控制 客体 存 取 的 敏感 信息 ”和 “用 来 进行 用 户 身份 鉴别 的 数据 ”。 

具体 来 说 就 是 : 

(1) 可 信 计 算 基 要 定义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 ,进行 自主 存 取 
控制 ; 

(2) 具体 实施 自主 存 取 控 制 的 机 制 应 能 控制 客体 属 主 、 同 组 用 户 、 其 他 任何 用 户 对 客 
体 的 共享 以 及 如 何 共享 。 

(3) 实施 自主 存 取 控制 机 制 的 敏感 信息 要 确保 不 被 非 授 权 用 户 读 取 、 修 改 和 破坏 。 

(4) 系统 在 用 户 登 录 时 ,通过 鉴别 机 制 对 用 户 进行 鉴别 。 

(5) 鉴别 用 户 的 数据 信息 ,要 确保 不 被 非 授 权 用 户 访问 、 修 改 和 破坏 。 


2 第 二 级 系统 审计 保护 级 

与 第 一 级 “用 户 自主 保护 级 ” 相 比 ,增加 了 以 下 内 容 : 

(1) 自主 存 取 控制 的 粒度 更 细 , 要 达到 系统 中 的 任 一 单个 用 户 。 

(2) 审计 机 制 。 审 计 系统 中 受 保护 客体 被 访问 的 情况 (包括 增加 、 删 除 等 ) ,用户 身份 
鉴别 机 制 的 使 用 ,系统 管理 员 .系统 安全 管理 员 ,操作 员 对 系统 的 操作 ,以 及 其 他 与 系统 安 
全 有 关 的 事件 。 要 确保 审计 日 志 不 被 非 授 权 用 户 访问 和 破坏 ,对 于 每 一 个 审计 事件 ,审计 
记录 包括 事件 的 时 间 和 日 期 .事件 的 用 户 .事件 类 型 .事件 是 否 成 功 等 。 对 身份 鉴别 事件 ， 
审计 记录 包含 请 求 的 来 源 (例如 ,终端 标识 符 ); 对 客体 引用 用 户 地 址 空间 的 事件 及 客体 删 
除 事件 ,审计 记录 包含 客体 名 。 对 不 能 由 TCB 独立 分 辨 的 审计 事件 ,审计 机 制 提供 审计 
记录 接口 ,可 由 授权 主体 调用 。 

(3) TCB 对 系统 中 的 所 有 用 户 进行 唯一 标识 (如 id 号 ) ,系统 能 通过 用 户 标识 号 确认 
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相应 的 用 户 。 
(4) 客体 重用 。 释 放 一 个 客体 时 ,将 释放 其 目前 所 保存 的 信息 ; 当 它 再 次 分 配 时 ,新 
主体 将 不 能 据 此 获得 其 原 主 体 的 任何 信息 。 


3. 第 三 级 ”安全 标记 保护 级 

在 第 二 级 “系统 审计 保护 级 ”的 基础 上 增加 了 下 述 安全 功能 : 

(1) 强制 存 取 控制 机 制 。TCB 对 系统 的 所 有 主体 及 其 控制 的 客体 (如 进程 .文件 、 
段 . 设 备 ) 指 定 敏感 标记 ( 即 安 全 级 ) ,这 些 敏感 标记 由 级 别 和 类 别 组 成 ,级 别 是 线性 的 ,如 
公开 秘密、 机 密 和 绝密 等 ,类 别 是 一 个 集合 如 { 外 交 、 人 事 , 干 部 调配 }。 敏 感 标记 如 { 秘 
密 : 外 交 , 人 事 }。 两 个 敏感 标记 之 间 可 以 是 支配 关系 、 相 等 关系 和 无 关 。 敏 感 标记 1 支 
配 敏感 标记 2, 是 指 敏感 标记 1 的 级 别 大 于 或 等 于 敏感 标记 2 的 级 别 , 并 且 人 敏感 标记 1 的 
类 别 包 含 敏感 标记 2 的 类 别 。 敏 感 标 记 1 和 敏感 标记 2 相等 ,是 指 敏感 标记 1 的 级 别 等 
于 敏感 标记 2 的 级 别 ,并 且 敏感 标记 1 的 类 别 等 于 敏感 标记 2 的 类 别 。 除 了 支配 和 相等 
以 外 ,两 个 敏感 标记 之 间 的 关系 就 是 无 关 。 仅 当主 体 的 敏感 标记 支配 客体 的 敏感 标记 时 ， 
主体 才 可 以 读 取 客体 ; 仅 当 客体 的 敏感 标记 支配 主体 的 敏感 标记 时 ,主体 才 可 以 写 客 体 。 

(2) 在 网 络 环境 中 ,要 使 用 完整 性 敏感 标记 确保 信息 在 传送 过 程 中 没有 受 损 。 

(3) 系统 要 提供 有 关 安 全 策略 模型 的 非 形式 化 描述 。 

(4) 系统 中 主体 对 客体 的 访问 要 同时 满足 强制 访问 控制 检查 和 自主 访问 控制 检查 。 

(5) 在 审计 记录 的 内 容 中 ,对 客体 增加 和 删除 事件 要 包括 客体 的 安全 级 别 。 另 外 ， 
TCB 对 可 读 输 出 记号 (如 输出 文件 的 安全 级 标记 等 ) 的 更 改 要 能 审计 。 

具体 来 说 ,第 三 级 “安全 标记 保护 级 "要求 具有 以 下 内 容 

Q@ 自主 访问 控制 。 

@ 强制 访问 控制 。 

@ 用 户 身份 鉴别 。 

@ 客体 重用 机 制 。 

Q@) 审计 机 制 。 

@ 数据 完整 性 机 制 。 


4 第 四 级 ”结构 化 保护 级 
该 保护 级 明确 要 求 具备 以 下 安全 功能 : 
(1) 可 信 计 算 基 建立 于 一 个 明确 定义 的 形式 化 安全 策略 模型 之 上 。 
(2) 对 系统 中 的 所 有 主体 和 客体 实行 自主 访问 控制 和 强制 访问 控制 。 
(3) 进行 隐蔽 存储 信道 分 析 。 
(4) 为 用 户 注册 建立 可 信和 通路 机 制 。 
(5) TCB 必须 结构 化 为 关键 保护 元 素 和 非 关 键 保 护 元 素 。TCB 的 接口 定义 必须 明 
确 , 其 设计 和 实现 要 能 经 受 更 充分 的 测试 和 更 完整 的 复审 。 
(6) 支持 系统 管理 员 和 操作 员 的 职能 划分 ,提供 了 可 信 功 能 管理 。 
具体 来 说 就 是 要 求 具有 以 下 内 容 : 
自主 访问 控制 。 同 第 三 级 “安全 标记 保护 级 ”。 
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@ 强制 访问 控制 。TCB 对 外 部 主体 能 够 直接 或 间接 访问 的 所 有 资源 (主体 .存储 客 
体 、 输 入 输出 资源 ) 实 施 强 制 访问 控制 。 

@ 身份 鉴别 。 同 第 三 级 “安全 标记 保护 级 ”。 

@ 客体 重用 。 同 第 三 级 “安全 标记 保护 级 ”。 

@@ 审计 。 同 第 三 级 “安全 标记 保护 级 ”, 但 增加 了 审计 隐蔽 存储 信道 事件 。 

@ 隐蔽 信道 分 析 。 系 统 开发 者 应 彻底 搜索 隐蔽 存储 信道 ,并 根据 实际 测量 或 工程 佑 
算 确定 每 一 个 被 标识 信道 的 最 大 带宽 。 

@ 可 信和 路 径 。 对 用 户 的 初始 登录 (如 login) ,TCB 在 它 与 用 户 之 间 提 供 可 信和 通信 路 
径 ,使 用 户 确信 与 TCB 进行 通信 ,而 不 是 与 一 个 “特洛伊 木马 ”通信 ,其 输入 的 用 户 名 和 口 
令 的 确 被 TCB 接收 。 


5 第 五 级 ”访问 验证 保护 级 

该 保护 级 的 关键 功能 要 求 在 于 : 

(1) TCB 满足 访问 监控 器 需求 , 它 仲裁 主体 对 客体 的 全 部 访问 ,其 本 身 足 够 小 ,能 够 
分 析 和 测试 。 在 构建 TCB 时 ,要 清除 那些 对 实施 安全 策略 不 必要 的 代码 ,在 设计 和 实现 
时 ,从 系统 工程 角度 将 其 复杂 性 降低 到 最 小 程度 。 

(2) 扩充 审计 机 制 , 当 发 生 与 安全 相关 的 事件 时 能 发 出 信号 。 

(3) 系统 具有 很 强 的 抗 渗透 能 力 。 

具体 来 说 就 是 : 

中 自主 访问 控制 。 同 第 四 级 “结构 化 保护 级 ”。 

@ 强制 访问 控制 。 同 第 四 级 “结构 化 保护 级 ”。 

@@ 客体 重用 。 同 第 四 级 “结构 化 保护 级 ”。 

@ 审计 。 同 第 四 级 “结构 化 保护 级 ”, 但 增加 了 报警 机 制 和 中 止 事 件 的 能 力 , 即 TCB 
包含 能 够 监控 可 审计 安全 事件 的 发 生 与 积累 的 机 制 , 当 超过 阔 值 时 ,能 够 立即 向 安全 管理 
员 发 出 报警 。 并 且 , 如 果 这 些 与 安全 相关 的 事件 继续 发 生 或 积累 ,系统 应 能 以 最 小 的 代价 
中 止 它们 。 

@@ 隐蔽 信道 分 析 。 系 统 开发 者 要 彻底 搜索 隐蔽 信道 (包括 隐藏 存储 信道 和 隐蔽 时 间 
信道 ) ,并 根据 实际 测量 或 工程 估算 确定 每 一 个 被 标识 信道 的 最 大 带宽 。 

@ 可 信 路 径 。 当 连接 用 户 时 (如 用 户 的 初始 登录 ,更 改 主体 安全 级 ),TCB 在 它 与 用 
户 之 间 提 供 可 信 通 信 路 径 , 使 用 户 确信 与 可 信 计 算 基 进行 通信 ,而 不 是 与 一 个 “特洛伊 木 
马 ? 通 信 ,确保 输 入 被 TCB 接收 。 另 外 ,可 信 路 径 在 逻辑 上 与 其 他 路 径 上 的 通信 相隔 离 ， 
且 能 正确 加 以 区 分 。 

@ 可 信 恢 复 。TCB 要 提供 过 程 和 机 制 , 保 证 计算 机 信息 系统 失效 或 中 断后 ,可 以 进 
行 不 损害 任何 安全 保护 性 能 的 恢复 。 


934 国际 通用 安全 评价 准则 CC 


美国 联合 荷 法 、 德 . 英 、 加 等 国 , 于 1991 年 1 月 宣布 了 制定 通用 安全 评价 准则 (Common 
Criteria for IT Security Evaluation CC) 的 计划 。1996 年 1 月 发 布 了 CC 的 1.0 版 。 它 的 基础 
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是 欧洲 的 ITSEC、 美 国 的 TCSEC .加拿大 的 CTCPEC, 以 及 国际 标准 化 组 织 ISO SC27 
WG3 的 安全 评价 标准 。1999 年 7 月 ,国际 标准 化 组 织 ISO 将 CC 2.0 作为 国际 标准 一 一 
ISOVIEC 15408 公布 。CC 标准 提出 了 “保护 轮廓 ”, 将 评估 过 程 分 为 “功能 ”和 “保证 ”两 部 
分 ,是 目前 最 全 面 的 信息 技术 安全 评估 标准 。CC 标准 在 内 容 上 包括 三 部 分 : 一 是 简介 和 
一 般 模型 ,二 是 安全 功能 要 求 ,三 是 安全 保证 要 求 。 


1. 简介 和 一 般 模型 

1) CC 的 开发 目的 和 应 用 范围 

CC 开发 的 目的 是 使 各 种 安全 评估 结果 具有 可 比 性 ,在 安全 性 评估 过 程 中 为 信息 系 
统 及 其 产品 的 安全 功能 和 保证 措施 提供 一 组 通用 要 求 ,并 确定 一 个 可 信 级 别 。 应 用 CC 
的 结果 是 ,可 使 用 户 确定 信息 系统 及 安全 产品 对 他 们 的 应 用 来 说 是 否 足 够 安全 ,使 用 中 的 
安全 风险 是 否 可 以 容忍 。 

要 评估 的 信息 系统 和 产品 称 为 评估 对 象 (TOE) ,如 操作 系统 、 分 布 式 系统 、 网 络 及 其 
应 用 等 。CC 涉及 信息 的 保护 ,以 避免 未 授权 的 信息 泄露 .修改 和 不 可 用 ,与 此 对 应 的 保 
护 类 型 称 为 保密 性 ,完整 性 和 可 用 性 。CC 重点 考虑 人 为 的 安全 威胁 ,但 CC 也 可 用 于 非 
人 为 因素 造成 的 威胁 ,CC 还 可 用 于 其 他 IT 领域 。CC 不 包括 与 信息 技术 安全 措施 无 直 
接 关 系 的 行政 性 管理 安全 措施 的 评估 ;不 包括 物理 安全 方面 的 评估 ;不 包括 评估 方法 学 ， 
也 不 涉及 评估 机 构 的 管理 模式 和 法 律 框 架 ; 也 不 包括 密码 算法 强度 等 方面 的 评估 。 

2) CC 的 文档 结构 

CC 由 三 部 分 组 成 。 

第 一 部 分 : 简介 和 一 般 模 型 。 它 定义 了 IT 安全 评估 的 通用 概念 和 原理 ,提出 了 评估 
的 通用 模型 。 它 还 提出 了 一 些 概 念 ,这 些 概念 可 用 来 表达 IT 安全 目的 ,用 于 选择 和 定义 
IT 安全 要 求 .书写 系统 与 产品 的 高 层 规范 。 

第 二 部 分 : 安全 功能 要 求 。 它 建立 了 一 系列 功能 组 件 , 作 为 表示 TOE 功能 要 求 的 标 
准 方法 。 

第 三 部 分 : 安全 保证 要 求 。 它 建立 了 一 系列 保证 组 件 , 作 为 表示 TOE 保证 要 求 的 标 
准 方 法 。 它 也 定义 了 保护 轮廓 (PP) 和 安全 目标 (ST) 的 评估 准则 ,提出 了 评估 保证 级 别 ， 
即 评估 TOE 保证 的 CC 预定 义 等 级 。 

3) CC 标准 中 的 缩写 及 常用 术语 

(1) 缩写 。 

CC: 通用 准则 (Common Criteria) 。 

EAL: 评估 保证 级 (Evaluation Assurance Level) 。 由 保证 组 件 构 成 的 包 , 该 包 代 表 
了 CC 预定 义 的 保证 尺度 上 的 一 个 位 置 。 

IT: 信息 技术 (Information Technology) 。 

TOE: 评估 对 象 CTarget Of Evaluation) 。 作 为 评估 主体 的 IT 产品 和 系统 及 相关 的 
管理 员 和 用 户 指南 文档 。 

PP: 保护 轮廓 (Protection Profile)。 一 组 独立 实现 的 ,满足 特定 用 户 需求 的 TOE 安 
全 要 求 。 
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TSP: TOE 安全 策略 (TOE Security Policy) ,规定 TOE 中 资产 管理 ,保护 和 分 配 的 
一 组 规则 。 

SF: 安全 功能 (Security Function) 。 为 执行 TSP 中 一 组 紧密 相关 的 规则 子 集 ,必须 
依赖 的 部 分 TOE。 

SFP: 安全 功能 策略 (Security Function Policy) ,SF 执行 的 安全 策略 。 

SOF: 功能 强度 (Strength Of Function) 。TOE 安全 功能 的 一 种 指标 , 指 通过 直接 攻 
击 其 基础 安全 机 制 ,攻破 安全 功能 所 需 的 最 小 代价 。 

ST: 安全 目标 (Security Target)。 作 为 指定 的 TOE 评估 基础 的 一 组 安全 要 求 和 
规范 。 

TSC: TSF 控制 范围 (TSF Scope of Control) ,在 TOE 中 发 生 并 服从 TSP 规则 的 
集合 。 

TSF: TOE 安全 功能 (TOE Security Function)。 正 确 执行 TSP 必须 依赖 的 全 部 
TOE 硬件 软件 和 固件 的 集合 。 

TSFI: TSF 安全 功能 接口 (TOE Security Function Interface)。 一 组 交互 式 编程 接 
口 ,通过 它 TSF 访问 .调配 TOE 资源 或 者 从 TSF 获取 信息 。 

(2) 常用 术语 。 

资产 (assets): 由 TSP 保护 的 信息 或 资源 。 

包 (package): 为 满足 一 组 确定 的 安全 目的 而 组 合 的 .可 重用 的 一 组 功能 或 保证 
组 件 。 

组 件 (component): 可 包含 在 PP、ST 或 包 中 的 最 小 可 选 元 素 。 

赋值 (assignment) : 指定 组 件 的 一 个 特定 参数 。 

保证 (Cassurance) : 实体 达到 其 安全 目的 的 信任 基础 。 

攻击 潜能 (attack potential) : 指 攻击 成 功 的 可 能 性 ,取决 于 攻击 者 的 技能 .资源 和 


增强 (augmentation) : 将 若干 保证 组 件 加 到 EAL 或 保证 包 中 。 
用 户 (Cuser) : 在 TOE 之 外 的 与 TOE 交互 的 任何 实体 。 
认证 数据 (authentication data) : 认证 用 户 身 份 的 数据 。 
授权 用 户 (authorised user) : 根据 TSP 可 执行 某 操作 的 用 户 。 


外 部 IT 实体 (external IT entity): 在 TOE 外 与 TOE 交互 的 可 信和 或 不 可 信和 的 IT 系 
统 或 产品 。 

连通 性 (connectivity) : 允许 与 外 部 IT 实体 交互 的 TOE 属性 ,包括 任何 环境 和 配置 
下 通过 任意 距离 的 有 线 或 无 线 方式 的 数据 交换 。 

依赖 性 (dependency) : 安全 要 求 之 间 的 依赖 关系 关系 。 

元 素 (element) : 不 可 再 分 的 安全 要 求 。 

评估 (evaluation) : 依据 给 定 的 准则 对 PP、ST 或 TOE 进行 评价 。 

评估 机 构 (evaluation authority) : 依据 评估 方案 实现 CC 的 机 构 , 它 确定 标准 并 监督 
评估 的 质量 。 

250 


me 第 9 章 操作 系统 安全 评测 mm 


评估 方案 (evaluation scheme) : 评估 机 构 使 用 CC 的 管理 和 规定 框架 。 

扩展 Cextension) : 把 不 在 第 二 部 分 的 功能 要 求 或 不 在 第 三 部 分 的 保证 要 求 增加 到 
ST 或 PP 中 5 

族 (family): 具有 共同 安全 目的 ,但 侧重 点 和 严格 性 不 同 的 组 件 集 合 。 
区 式 化 (formal) : 在 完备 的 数学 概念 基础 上 ,用 具有 确定 语义 和 严格 语法 的 语言 


个 人 用 户 (human user): 与 TOE 交互 的 任何 个 人 。 

身份 (identity) : 能 唯一 标识 授权 用 户 的 表示 形式 ,可 以 是 全 名 、 缩 名 或 假名 。 

非 形 式 化 (informal) : 用 自然 语言 表达 。 

内 部 通信 信道 (internal communication channel) : TOE 内 各 部 分 的 通信 信道 。 

TOE 内 部 传输 (internal TOE transfer) : TOE 内 各 部 分 的 数据 通信 。 

TSF 间 传 输 (inter-TSF transfer): TOE 与 其 他 可 信 IT 产品 安全 功能 组 件 间 的 数据 
通信 。 

反复 (iteration) : 一 个 组 件 在 不 同 操作 中 的 多 次 使 用 。 

客体 (object): TSC 中 由 主体 操作 的 ,包含 或 接收 信息 的 实体 。 

组 织 安全 策略 (organisational security policies) : 组 织 为 保障 其 运转 而 规定 的 安全 规 
则 、 过 程 、 惯 例 和 指南 。 

产品 (product): IT 软件 .固件 或 硬件 的 包 , 其 功能 用 于 或 组 合用 于 不 同系 统 中 。 

访问 监督 器 (reference monitor) : 执行 TOE 访问 控制 策略 的 抽象 机 概念 。 

访问 确认 机 制 (reference validation mechanism): 有 以 下 特性 的 访问 监督 器 概念 的 
实现 , 防 自 改 .始终 运行 .简单 到 可 以 对 其 进行 彻底 的 分 析 和 测试 。 

细 化 (refinement) : 为 组 件 添 加 细节 。 

角色 (role) : 一 组 预先 确定 的 规则 ,规定 用 户 与 TOE 之 间 许 可 的 交互 。 

秘密 (secret) : 为 执行 特定 的 SFP, 只 有 授权 用 户 和 TSF 才 知道 的 消息 。 

安全 属性 (security attribute) : 用 于 执行 TSP 的 主体 、 客 体 或 用 户 的 相关 信息 。 

安全 目的 (security objective): 对 抗 特定 威胁 ,满足 特定 组 织 安全 策略 和 假设 的 
陈述 。 
选择 (selection): 从 组 件 的 项 目 表 中 指定 一 项 或 几 项 。 
半 形 式 化 (semiformal) : 用 有 确定 语义 和 严格 语法 的 语言 表达 。 
基本 级 功能 强度 (SOF-basic) : 一 种 TOE 功能 强度 级 别 ,足以 对 抗 低 潜能 攻击 者 对 
TOE 安全 的 偶发 攻击 。 

中 级 功能 强度 (SOF-medium) : 一 种 TOE 功能 强度 级 别 , 足 以 对 抗 中 等 潜能 攻击 者 
对 TOE 安全 的 直接 或 故意 攻击 。 

高 级 功能 强度 (SOF-high) : 一 种 TOE 功能 强度 级 别 , 足 以 对 抗 高 等 潜能 攻击 者 对 
TOE 安全 的 有 计划 有 组 织 的 攻击 。 

主体 (subject) : 在 TSC 中 实施 操作 的 实体 。 

系统 (system): 有 特定 目的 和 运行 环境 的 专用 IT 装置 。 

TOE 资源 (TOE resource): TOE 可 用 或 可 消耗 的 所 有 内 容 。 
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TOE 安全 策略 模型 (TOE security policy model) : TOE 执行 的 安全 策略 的 结构 化 
表示 。 
TSF 控制 外 传输 (transfers outside TSF control): 与 不 受 TSF 控制 的 实体 交换 
可 信和 通道 (trusted channel) : TSF 与 远程 可 信 IT 产品 间 的 一 种 通信 方式 ,该 方式 对 
TSP 的 支持 具有 必要 的 置信 和 度 。 
可 信和 路 径 (trusted path) : TSF 与 用 户 间 的 一 种 通信 方式 ,该 方式 对 TSP 的 支持 具有 
必要 的 置信 和 度 。 
TSF 数据 (TSF data): TOE 产生 或 为 TOE 产生 的 数据 ,它们 可 能 会 影响 TOE 的 
操作 。 
用 户 数 据 (user data) : 用 户 产生 或 为 用 户 产生 的 数据 ,它们 不 会 影响 TSP 的 操作 。 
4) CC 的 目标 读者 
CC 的 目标 读者 主要 包括 TOE 用 户 、TOE 开发 者 和 TOE 评估 者 。 其 他 读者 包括 系 
统管 理 员 和 安全 管理 员 ;内 部 和 外 部 审计 员 ;安全 规划 和 设计 者 ;评估 发 起 人 和 评估 机 构 。 
用 户 可 以 利用 评估 结果 ,判断 一 个 系统 和 产品 是 否 满足 他 们 的 安全 需求 ,可 以 通过 评 
佑 结果 比较 不 同 的 系统 和 产品 。CC 用 保护 轮廓 为 用 户 提 供 了 一 个 独立 于 实现 的 框架 ， 
用 户 在 保护 轮廓 中 可 提出 对 评估 对 象 的 特殊 IT 安全 要 求 。 
开发 者 遵照 CC 对 系统 和 产品 进行 设计 和 开发 ,可 以 通过 安全 功能 和 保证 证 明 TOE 
实现 了 特定 的 安全 要 求 , 每 个 安全 要 求 都 包含 在 安全 目标 (ST) 之 中 。 
评估 者 遵照 CC 对 TOE 进行 评估 ,判断 TOE 与 安全 要 求 的 一 致 性 ,可 以 得 到 可 重复 
的 ,客观 的 评估 结果 。 
5) 安全 概念 
(1) 安全 环境 。 安 全 环境 包括 所 有 相关 的 法 律 法 规 . 组 织 安全 策略 .习惯 .专门 技术 
和 知识 。 它 定义 了 TOE 使 用 的 环境 ,包括 环境 中 的 安全 威胁 。 
确定 安全 环境 时 PP 或 ST 的 作者 要 考虑 以 下 几 点 。 
。 TOE 的 物理 环境 : 指 所 有 与 TOE 安全 性 相关 的 TOE 运行 环境 ,包括 已 知 的 物 
理 和 人 为 的 安全 安排 。 
。 需要 保护 的 资产 : 包括 可 直接 访问 的 资产 ,如 文件 和 数据 库 , 和 间接 需要 满足 安 
全 要 求 的 资产 ,如 授权 凭证 和 IT 实现 本 身 。 
。 TOE 的 目的 : 产品 类 型 和 可 能 的 TOE 用 途 。 
安全 策略 .威胁 和 风险 的 调查 将 做 出 有 关 TOE 安全 的 陈述 。 
。 假设 的 陈述 : 如 果 环 境 满 足 此 假设 ,TOE 可 以 被 认为 是 安全 的 。 对 TOE 评估 ,该 
陈述 作为 公理 接受 。 
。 资产 安全 威胁 的 陈述 : 指明 TOE 相关 安全 分 析 中 发 现 的 所 有 威胁 。CC 使 用 威 
胁 主体 ,假定 的 攻击 方法 、 攻 击 基 础 的 脆弱 性 和 被 攻击 的 资产 名 称 来 表示 一 个 威 
胁 。 安 全 风险 的 评价 就 是 评价 每 种 威胁 实际 发 生 的 可 能 性 、 成 功 的 可 能 性 和 可 能 
的 破坏 后 果 。 
。 组 织 安全 策略 的 陈述 : 此 陈述 明确 相关 的 策略 和 规则 。 对 一 个 IT 系统 可 明确 提 
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出 这 样 的 策略 ,但 是 对 通用 的 IT 产品 或 产品 类 , 则 需要 做 出 相关 的 工作 假设 。 

(2) 安全 目标 。 安 全 目标 由 安全 环境 分 析 结 果 确 定 , 安 全 目标 应 和 已 确定 的 TOE 运 
行 目标 、 产 品目 标 以 及 已 知 物理 环境 一 致 。 定 义 安全 目标 ,是 为 了 阐明 所 有 的 安全 考虑 ， 
并 指出 安全 方面 的 问题 是 由 TOE 还 是 由 它 的 环境 解决 。TOE 和 它 的 IT 环境 的 安全 目 
标 就 是 IT 的 安全 要 求 ,用 技术 手段 实现 ,而 环境 的 安全 目标 将 在 IT 领域 内 用 非 技 术 的 
或 程序 的 手段 实现 。 

(3) IT 安全 要 求 。IT 安全 要 求 将 安全 目标 细 化 为 一 套 TOE 及 其 环境 的 安全 要 求 ， 
一 旦 这 些 要 求 得 到 满足 ,就 可 以 保证 TOE 达到 它 的 安全 目标 。 

IT 安全 要 求 分 安全 功能 要 求 和 安全 保证 要 求 两 类 。 安 全 功能 要 求 定 义 了 TOE 支持 
IT 安全 性 的 那些 功能 和 期 望 的 安全 行为 。CC 的 第 二 部 分 定义 了 一 套 安全 功能 要 求 ,如 
标识 .鉴别 .安全 审计 以 及 抗 抵赖 性 等 。 为 了 确定 安全 功能 是 否 正 确实 现 和 确认 满足 安全 
目标 ,因而 提出 了 一 套 安全 保证 要 求 。CC 的 第 三 部 分 定义 了 CC 的 保证 要 求 和 评估 级 
别 。 保 证 要 求 规定 了 开发 者 的 行为 .所 产生 的 论据 和 评估 者 的 行为 。 

(4) TOE 概要 规范 。TOE 概要 规范 定义 TOE 安全 要 求 的 实例 。 它 给 出 了 满足 功 
能 要 求 的 高 层次 安全 功能 定 et 

(5) TOE 实现 。TOE 实现 基于 TOE 实施 , 它 基 于 TOE 的 安全 功能 要 求 和 ST 中 的 
TOE 概要 规范 。 如 果 正 确 有 效 地 实现 了 ST 中 包括 的 所 有 安全 需求 , 则 TOE 将 达到 其 
安全 目标 。 

6) CC 方法 

对 IT 安全 性 的 信任 是 通过 开发 .评估 和 运行 过 程 中 的 各 种 措施 获得 的 。 

(1) 开发 。CC 不 规定 任何 特定 的 开发 方法 和 生命 周期 模型 ,图 9-1 只 是 描述 了 常见 


的 开发 者 行为 。 
功能 规范 
高 层 设计 


相应 分 析 和 和 集成 测试 


设计 和 实现 细 化 


源码 /硬件 设计 上 一 


图 9-1 评估 对 象 开发 模型 


其 中 ,安全 要 求 的 建立 对 满足 用 户 的 安全 目标 意义 重大 。 如 果 在 开发 过 程 的 开始 没 
有 明确 用 户 的 需求 ,再 好 的 设计 也 可 能 达 不 到 用 户 期 望 的 目标 。 
开发 过 程 中 逐步 对 安全 要 求 进行 细 化 ,最 终 成 为 安全 目标 (ST) 中 的 TOE 概要 规范 。 
每 个 低层 次 的 细 化 代表 了 更 为 详细 的 设计 分 解 ,最 低层 抽象 表示 是 TOE 实现 本 身 。 
CC 不 规定 一 套 专 有 的 设计 表示 方法 ,但 要 求 用 一 种 有 效 的 方法 ,此 方法 应 当 足 够 详 
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细 , 即 每 个 层次 的 细 化 是 上 一 层次 的 完全 和 精确 的 实例 化 。 

CC 保证 标准 包含 功能 定义 、 高 层次 设计 ,低层 次 设计 和 实现 等 抽象 层次 ,要 求 开发 
者 说 明 其 开发 方法 是 如 何 满足 特定 保证 级 别 的 CC 保证 要 求 的 。 

(2) TOE 评估 。TOE 的 评估 过 程 可 以 与 开发 过 程 同步 进行 或 随后 进行 。TOE 的 评 
估 过 程 要 求 具备 : 

。 一 套 TOE 证 据 , 包 括 一 套 评估 过 的 ST 作为 TOE 评估 的 基础 。 

。 评估 所 需 的 TOE。 

。 评估 准则 .评估 方法 和 评估 认证 体系 。 

评估 的 期 望 结果 是 对 TOE 满足 ST 中 安全 要 求 的 确认 ,得 到 一 个 或 多 个 满足 评估 准 
则 规定 的 TOE 报告 。 这 些 报告 对 TOE 用 户 和 潜在 用 户 都 很 有 用 。 评 估 过 程 中 获得 的 
可 信 度 取决 于 达到 的 保证 要 求 ( 即 评估 保证 级 别 )。 

评估 从 两 方面 帮助 生产 出 更 好 的 安全 产品 : 评估 可 以 发 现 开 发 者 能 修改 的 TOE 错 
误 或 弱点 ,减少 将 来 运行 时 安全 性 失效 的 可 能 ;为 了 通过 严格 的 评估 ,开发 者 在 设计 和 开 
发 TOE 时 会 更 加 小 心 ,评估 过 程 将 对 最 初 需求 ,开发 过 程 、. 最 终 产 品 和 操作 环境 产生 间 
接 的 、 积 极 的 影响 。 

(3) 和 运行。 用户 可 选用 评估 过 的 TOE。TOE 在 投入 运 Ut 些 错 误 或 
弱点 ,或 者 发 现 此 前 对 环境 条 件 的 假设 需要 修改 。 在 试 运行 后 ,运行 结果 将 反馈 给 开发 者 
以 修改 TOE 或 重新 定义 其 安全 要 求 及 假定 的 运行 环境 。 

7) CC 描述 材料 

CC 提出 了 进行 评估 的 框架 ,包括 一 套 通用 概念 和 与 IT 安全 相关 的 语言 。 

(1) 安全 要 求 的 表达 。CC 安全 表达 用 类 、 族 、 组 件 的 层次 来 组 织 ,帮助 用 户 确 定 特定 
的 安全 要 求 。CC 用 通用 的 风格 .相同 的 组 织 方式 和 技术 术语 表达 功能 和 保证 方面 的 安 
全 要 求 。 

。 类. 类 用 于 对 安全 要 求 进行 最 一 般 的 分 组 。 类 中 成 员 覆 盖 不 同 的 安全 目标 ,但 都 

有 一 个 共同 的 安全 焦点 。 类 的 成 员 称 为 族 。 
。 族 : 族 包 括 一 套 安 全 要 求 , 它 们 满足 一 个 安全 目标 ,但 在 侧重 点 和 严格 性 上 有 差 
别 。 族 的 成 员 称 为 组 件 。 
。 组 件 : 组 件 描述 一 个 明确 的 安全 要 求 , 是 CC 定义 的 结构 中 最 小 的 可 选 安全 要 求 。 
apSPesooA 
组 织 。 有 时 族 内 只 有 一 个 组 件 ,此 时 无 须 排 序 。 

ey th tt ett 
全 要 求 。 当 一 个 组 件 不 是 自 充分 的 而 是 依赖 男 一 个 组 件 时 ,依赖 关系 就 产生 了 。 当 用 组 
件 构成 PP 或 ST 时 ,为 确保 TOE 的 完整 性 必须 满足 它们 的 依赖 关系 。 

可 以 对 CC 组 件 进 行 剪裁 来 满足 特定 的 安全 策略 或 抵抗 特定 的 威胁 。 每 个 组 件 都 规 
定 了 是 和 否 可 以 做 “赋值 ?和 * 选 择 ? 操 作 .哪些 情况 下 可 以 做 这 些 操作 及 做 这 些 操作 的 结果 。 
任何 组 件 都 可 以 做 “反复 ”和 “ 细 化 ”操作 。 这 些 操 作 定义 如 下 : 

。 反复 : 进行 不 同 操作 时 ,人 允许 组 件 多 次 使 用 。 

。 赋值 : 使 用 组 件 时 ,人 允许 指定 参数 值 。 
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。 选择 : 允许 从 组 件 表 中 选择 某 些 项 。 

。 细 化 : 使 用 组 件 时 ,人 允许 对 组 件 指定 更 多 的 细节 。 

一 些 必要 的 操作 可 以 在 PP 内 完成 (全 部 或 部 分 ) ,或 者 在 ST 内 完成 ,但 所 有 操作 都 
必须 在 ST 内 全 部 完成 。 

(2) 安全 要 求 的 使 用 。CC 安全 要 求 被 开发 为 包 、PP 和 ST 三 种 使 用 结构 。 

@ 包 : 包 是 组 件 的 组 合 ,是 描述 功能 和 保证 要 求 的 一 个 集合 。 包 可 以 反复 使 用 ,可 
以 定义 已 知 的 有 效 的 、 达 到 特定 安全 目标 的 要 求 。 包 可 以 构造 更 大 的 包 、PP 和 ST。 

评估 保证 级 别 (EAL) 是 CC 第 三 部 分 中 预定 义 的 保证 包 。 一 个 保证 级 别 为 评估 定义 
了 一 套 基本 的 保证 要 求 。 评 估 保 证 级 别 的 每 一 级 定义 了 一 套 一 致 的 保证 要 求 , 各 级 别 合 
起 来 就 是 一 个 预定 义 的 CC 保证 级 别 尺 度 。 

@ 保护 轮廓 (PP): PP 包含 一 套 CC 的 明确 阐述 的 安全 要 求 及 一 个 评估 保证 级 别 
(EAL)( 可 能 是 附加 保证 组 件 要 求 的 )。PP 可 以 独立 地 表示 一 类 TOE 的 安全 要 求 ,它们 
遵循 一 套 安全 目标 。PP 可 以 反复 使 用 ,还 可 以 用 来 定义 那些 已 知 的 有效 的 、 达 到 特定 安 
全 目标 的 TOE 要 求 。 

PP 的 开发 者 可 以 是 用 户 团 体 IT 产品 开发 者 或 其 他 对 于 这 样 一 套 通 用 要 求 有 兴趣 
的 团体 。PP 为 用 户 提供 了 一 套 方法 ,用 户 可 以 讨论 特定 安全 要 求 和 将 来 针对 这 些 要 求 进 
行 评估 所 需要 的 设施 。 

@ 安全 目标 (ST): ST 包括 一 套 安全 要 求 ,这 些 要 求 可 以 引用 PP, 也 可 以 直接 引用 
CC 中 的 功能 ,或 保证 组 件 , 或 其 他 明确 阐述 的 安全 要 求 。ST 允许 对 特定 的 TOE 安全 要 
求 进行 描述 ,通过 评估 说 明 该 TOE 对 达到 指定 目标 是 有 用 和 有 效 的 。 

一 个 ST 包含 TOE 概要 规范 ,同时 还 包含 安全 要 求 、 安 全 目标 及 它们 的 基本 原理 。 
ST 是 所 有 团体 对 TOE 提供 的 安全 性 达成 一 致 的 基础 。 

(3) 安全 要 求 的 来 源 。TOE 的 安全 要 求 可 以 通过 下 列 输入 构造 : 

。 已 有 的 PP。PP 的 安全 要 求 可 用 来 充分 地 表达 或 完全 满足 ST 中 TOE 的 安全 要 

求 。 已 有 的 PP 可 以 作为 一 个 新 的 PP 的 基础 。 

。 已 有 的 包 。PP 或 ST 中 的 部 分 TOE 安全 要 求 可 能 已 在 一 个 包 中 表述 过 了 。 第 
三 部 分 的 EAL 是 一 组 预定 义 的 包 ,PP 或 ST 中 的 TOE 保证 要 求 中 应 包括 某 个 
EAL 级 别 。 

。 已 有 的 功能 或 保证 组 件 。PP 或 ST 中 的 功能 或 保证 要 求 可 以 直接 用 功能 或 保证 
组 件 表达 。 

。 扩展 的 要 求 。 第 二 和 第 三 部 分 没有 扩展 的 要 求 可 以 包括 在 PP 或 ST 中。 

应 当 尽 可 能 利用 已 有 的 安全 要 求 ,这样 有 助 于 保证 TOE 满足 一 组 公认 的 、 已 知 用 途 
的 要 求 , 从 而 有 利于 TOE 被 广泛 认可 。 

8) 评估 类 型 

(1) PP 评估。PP 评估 按照 CC 第 三 部 分 的 PP 评估 准则 进行 。 评 估 的 目的 是 证 明 
PP 是 完全 的 .一致 的 .技术 上 合理 的 ,而 且 适 合 表达 一 个 可 评估 的 TOE 安全 要 求 。 

(2) ST 评估 。ST 评估 按照 CC 第 三 部 分 的 ST 评估 准则 进行 。ST 评估 有 两 个 目 
的 : 首先 证 明 ST 是 完全 的 、 一 致 的 .技术 上 合理 的 ,而 且 适 合 做 相应 的 TOE 评估 基础 ; 
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其 次 , 当 认 为 ST 与 某 PP 一 致 时 ,证 明 ST 完全 满足 PP 的 要 求 。 

(3) TOE 评估 。 对 照 一 个 已 评估 的 ST, 按 照 CC 第 三 部 分 的 评估 准则 进行 TOE 评 
估 , 评 估 的 目的 是 证 明 TOE 满足 ST 中 的 安全 要 求 。 

9) 保证 的 维护 

按照 CC 第 三 部 分 的 评估 准则 ,以 一 个 已 评估 的 TOE 为 基础 进行 保证 的 维护 。 这 样 
做 的 目的 是 保证 TOE 中 已 建立 的 保证 得 到 维持 ,在 TOE 或 其 环境 变化 的 情况 下 TOE 
能 继续 满足 它 的 安全 要 求 。 

10) CC 评估 

为 了 使 评估 结果 具有 更 好 的 可 比 性 ,评估 应 在 权威 的 评估 体系 中 进行 。 该 体系 规定 
了 评估 标准 、 监 督 评估 质量 和 管理 评估 工作 的 手段 ,以 及 评估 者 必须 遵守 的 规则 。 评 估 环 
境 的 主要 部 分 参见 图 9-2 评估 上 下 文 。 


评估 准则 


{通用 准则 ) 


语法 学 | 一 一 
评估 体制 
了 了 


最 终 评估 结果 


和 证 书 列表 / 
批 他 认 正 注册 


图 9-2 评估 上 下 文 


应 用 通用 评估 方法 学 有 助 于 提供 结果 的 可 重复 性 和 客观 性 ,但 仅 靠 方法 学 是 不 充分 
的 。 许 多 评估 准则 需要 专家 判断 和 一 定 的 背景 知识 ,而 这 些 是 很 难保 证 一 致 性 的 。 为 了 
增强 评估 结果 的 一 致 性 ,最 终 的 评估 结果 应 提交 一 个 认证 过 程 , 该 过 程 是 一 个 针对 评估 结 
果 的 独立 的 检查 过 程 ,并 生成 一 个 证 书 或 正式 批文 ,该 证 书 通 常 是 公开 的 。 这 个 认证 过 
程 ,是 使 IT 安全 准则 的 应 用 有 更 好 一 致 性 的 一 种 手段 。 

评估 体制 .评估 方法 学 和 认证 过 程 是 管理 评估 体系 的 评估 机 构 的 责任 ,不 属于 CC 的 
范畴 。 

11) CC 评估 结果 

PP 或 TOE 评估 将 分 别 产生 评估 过 的 PP 或 TOE 目录 ,ST 评估 将 产生 在 TOE 评估 
框架 中 使 用 的 中 间 结 果 。 

(1) PP 评估 结果 。CC 包括 评估 准则 ,以 便 评估 者 说 明 一 个 PP 是 否 完备 .一致 .技术 
上 正确 ,因而 能 对 可 评估 的 TOE 要 求 进 行 描述 。PP 的 评估 结果 是 通过 或 不 通过 ,通过 
的 PP 才能 登记 注册 。 

(2) TOE 评估 结果 。CC 包括 评估 准则 ,以 便 评估 者 判定 TOE 是 否 满足 了 ST 中 撒 
述 的 安全 要 求 。 评 估 者 说 明 ,TOE 的 指定 安全 功能 是 否 满足 功能 要 求 ,从 而 有 效 地 达到 
TOE 的 安全 目标 ;TOE 的 指定 安全 功能 是 否 正确 地 实现 。 

TOE 的 评估 结果 应 包含 与 CC 一 致 性 的 陈述 。 运 用 CC 的 术语 描述 TOE 的 安全 ,使 
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得 TOE 间 能 够 进行 安全 特性 的 比较 。TOE 的 评估 结果 应 说 明 TOE 满足 指定 要 求 的 可 
ae TOE 的 评估 结果 是 通过 或 不 通过 ,通过 的 TOE 才能 登记 注册 。 
(3) 评估 结果 的 声明 。 评 估 的 通过 结果 应 说 明 PP 或 TOE 满足 指定 要 求 的 可 信 程 
度 。 评 估 结 果 应 针对 CC 第 二 部 分 、 第 三 部 分 或 直接 针对 PP ,进行 如 下 说 明 。 
。 第 二 部 分 一 致 : PP 或 TOE 的 功能 要 求 只 建立 在 第 二 部 分 的 功能 组 件 上 ,PP 或 
TOE 是 与 第 二 部 分 一 致 的 。 
。 第 二 部 分 扩展 : PP 或 TOE 的 功能 要 求 包含 第 二 部 分 没有 的 功能 组 件 , PP 或 
TOE 是 第 二 部 分 扩展 的 。 
。 第 三 部 分 一 致 : PP 或 TOE 的 保证 要 求 是 以 EAL 或 保证 包 形 式 存在 的 ,而 它们 
只 基于 第 三 部 分 的 保证 组 件 ,PP 或 TOE 是 第 三 部 分 一 致 的 。 
。 第 三 部 分 增强 : PP 或 TOE 的 安全 要 求 是 以 EAL 或 保证 包 形 式 存在 的 ,并 加 上 
第 三 部 分 的 其 他 保证 组 件 ,PP 或 TOE 是 第 三 部 分 增强 的 。 
。 第 三 部 分 扩展 : PP 或 TOE 的 安全 要 求 是 以 EAL 形式 存在 的 ,而 EAL 又 与 第 三 
部 分 之 外 的 附加 保证 要 求 相 联系 ;或 者 是 以 保证 包 形 式 存在 的 ,而 包 有 第 三 部 分 
之 外 的 保证 要 求 ,PP 或 TOE 是 第 三 部 分 扩展 的 。 
。 PP 一 致 : TOE 与 PP 的 所 有 部 分 一 致 。 
(4) TOE 评估 结果 的 应 用 。IT 产品 和 系统 对 评估 结果 的 应 用 是 不 同 的 ,一 种 应 用 评 
估 结 果 的 可 能 方式 如 图 9-3 所 示 。 


PP 目录 已 评估 
产品 目录 


可 移 / 可 选 


安全 要 求 -~ 评估 和 评估 结果 人 一---------- 


评估 TOE 


系统 认可 
准则 


图 9-3 TOE 评估 结果 的 应 用 


评估 后 应 将 评估 结果 的 概要 列 和 已 评估 产品 的 目录 ,以 使 其 成 为 市 场 中 可 用 的 一 个 
信息 安全 产品 。 系 统 使 用 者 将 根据 CC 评估 结果 来 决定 是 否 接受 系统 运行 的 风险 。 

2 安全 功能 要 求 

安全 功能 组 件 是 PP 或 ST 中 表达 的 TOE 的 IT 安全 功能 要 求 的 基础 。 安 全 功能 要 
求 描述 了 TOE 所 期 望 的 安全 行为 ,目标 是 PP 或 ST 中 陈述 的 安全 目标 。 这 里 的 安全 功 
能 要 求 并 不 是 要 为 所 有 IT 安全 问题 提供 确定 的 答案 ,而 是 提供 一 组 可 供 广泛 理解 的 安 
全 功能 要 求 。 

另外 ,CC 的 本 部 分 不 包括 所 有 可 能 的 安全 要 求 , 只 是 包含 了 那些 发 布 时 已 知 并 认为 
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有 价值 的 要 求 。 所 以 ,这 些 安全 功能 要 求 体现 了 当前 评估 技术 的 发 展 水 平 。 由 于 用 户 的 
理解 和 需求 可 能 会 变化 ,这 些 功 能 要 求 需 要 不 断 进行 维护 。PP 或 ST 的 作者 也 可 以 考虑 
使 用 本 部 分 以 外 的 功能 要 求 。 

1) 几 个 关键 概念 

TOE 评估 主要 是 确保 TOE 资源 执行 了 规定 的 TSP。TSP 定义 了 一 些 规则 使 TOE 
支配 其 对 资源 的 访问 ,从 而 控制 所 有 的 信息 和 服务 。TSP 由 多 个 SFP 组 成 ,每 个 SFP 的 
控制 范围 定义 该 SFP 控制 的 主体 .客体 和 操作 。SFP 由 SF 实现 ,SF 的 机 制 提供 必要 的 
功能 执行 SFP。 为 正确 执行 TSP 而 必须 依赖 的 TOE 中 的 部 分 称 为 TSF,TSF 包括 实施 
时 直接 或 间接 依赖 的 TOE 中 所 有 的 软件 、 硬 件 和 固件 。 

访问 监督 器 是 实施 TOE 的 访问 控制 机 制 的 抽象 机 ,访问 确认 机 制 是 访问 监督 器 的 
实现 ,具有 防 算 改 、 能 一 直 运 行 和 简单 到 能 进行 彻底 分 析 和 测试 的 特点 。TSF 可 能 包括 
一 个 访问 确认 机 制 和 TOE 运行 时 所 需要 的 其 他 安全 功能 。 

TOE 可 能 是 一 个 包括 软件 ,硬件 和 固件 的 单个 产品 ,也 可 能 是 一 个 分 布 式 产品 ,包括 
多 个 单独 部 分 ,每 部 分 为 TOE 提供 一 个 特定 服务 并 通过 一 个 内 部 通信 信道 与 TOE 其 他 
部 分 相连 。 当 TOE 由 多 个 部 分 组 成 时 ,TOE 的 每 一 部 分 可 以 有 自己 的 TSF, 通 过 内 部 
通信 信道 与 TSF 其 他 部 分 交换 用 户 数 据 和 TSF 数据 。 这 种 交换 称 为 TOE 内 部 传输 。 
此 时 ,这 些 TSF 的 部 分 抽象 地 形成 一 个 复合 TSF 来 实施 TSP。 

TOE 接口 可 能 限于 特定 的 TOE 使 用 ,也 可 能 允许 通过 外 部 通信 信道 与 其 他 IT 产品 
交互 。 与 其 他 IT 产品 交互 可 以 采取 TSF 间 传 输 和 TSF 控制 外 传输 两 种 形式 。TSF 间 
传输 指 本 地 TOE 的 TSP 已 对 远程 可 信 IT 产品 的 安全 策略 进行 了 协调 和 评估 。TSF 控 
制 外 传输 指 远程 IT 产品 可 能 没有 被 评估 ,因而 其 安全 策略 未 知 , 因 此 是 不 可 信 IT 产品 。 

TSC 是 TOE 中 服从 TSP 规则 的 交互 集合 , 它 包括 一 组 根据 主体 .客体 和 TOE 内 的 
操作 定义 的 交互 集 , 但 不 一 定 包括 TOE 的 所 有 资源 。 

TSFI 是 一 组 交互 式 编程 接口 ,TSF 通过 它 访问 、 调 配 TOE 资源 或 者 从 TSF 中 获取 
信息 。TSFI 定义 了 为 执行 TSP 而 提供 的 TOE 功能 边界 。 用 户 要 通过 TSFI 与 TOE 交 
互 。 用 户 分 为 个 人 用 户 和 外 部 IT 实体 ,个 人 用 户 再 分 为 本 地 和 远程 用 户 两 种 情况 。 本 
地 个 人 用 户 通过 TOE 设备 直接 与 TOE 交互 ,远程 个 人 用 户 通 过 其 他 IT 产品 间接 与 
TOE 交互 。 

用 户 与 TOE 的 一 次 交互 过 程 称 为 用 户 会 话 。 可 以 根据 用 户 鉴 别 . 时 段 . 访 问 TOE 
的 方法 、 每 个 用 户 允 许 的 并 发 会 话 数控 制 用 户 会 话 的 建立 。 

已 授权 表示 用 户 具 有 执行 某 操作 的 特权 ,授权 用 户 表 示 用 户 有 权 执 行 TSP 定义 的 
操作 。 

角色 是 预定 义 的 一 组 规则 ,它们 建立 用 户 和 TOE 间 所 允许 的 交互 。TOE 可 支持 任 
意 数目 的 角色 。 例 如 与 TOE 安全 运行 相关 的 角色 可 能 包括 “审计 管理 员 ” 和 “用 户 账 号 
管理 员 ”。 

TOE 包括 用 于 处 理 和 存储 信息 的 资源 。TSF 的 主要 目标 是 完全 、 正 确 地 对 TOE 控 
制 的 资源 和 信息 执行 TSP。TOE 资源 能 以 多 种 方式 结构 化 和 使 用 。 所 有 资源 分 为 主体 
和 客体 两 种 。 主 体 是 主动 的 ,它们 是 TOE 内 部 行为 发 生 的 原因 ;客体 是 被 动 的 ,它们 是 
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发 出 信息 或 存 人 信息 的 容器 ,是 主体 操作 的 对 象 。 主 体 可 分 为 : 一 个 授权 用 户 的 遵从 
TSP 所 有 规则 的 实体 ,多 个 授权 用 户 轮 流 使 用 的 特定 功能 进程 ,TOE 自身 一 部 分 表示 的 
实体 。 客 体 可 以 包含 信息 。 

用 户 .主体 .信息 和 客体 具有 确定 的 属性 。 有 的 属性 只 是 提示 性 信息 (如 文件 名 ), 用 
来 增加 TOE 的 用 户 友好 性 ,而 另 一 些 属性 可 能 专 为 执行 TSP 而 存在 (如 访问 控制 信息 )， 
称 为 安全 属性 。 以 下 除 另 有 说 明 ,属性 将 作为 安全 属性 的 简称 。 无 论 属 性 的 预期 目的 是 
什么 ,对 属性 加 以 控制 都 是 必要 的 。 

TOE 数据 分 为 用 户 数据 和 TSF 数据 ,用 户 数据 是 存储 在 TOE 资源 中 的 信息 ,用 户 
可 以 根据 TSP 对 其 操作 ,但 TSF 不 对 它们 附加 任何 特殊 的 意义 。TSF 数据 是 进行 TSP 
决策 时 TSF 使 用 的 信息 ,如 果 TSP 允许 ,TSF 数据 可 以 受用 户 的 影响 。 安 全 属性 .鉴别 
数据 和 访问 控制 表 都 是 TSF 数据 。 有 两 类 特殊 的 TSF 数据 一 一 鉴别 数据 和 秘密 ,它们 
可 以 相同 ,但 不 一 定 相 同 。 鉴 别 数据 用 于 验证 向 TOE 请 求 服务 的 用 户 声明 的 身份 。 鉴 
别 数据 不 一 定 要 保密 ( 即 称 为 秘密 ), 反 过 来 秘密 也 不 都 是 用 做 鉴别 数据 的 。 

2) 功能 要 求 的 结构 组 成 

安全 功能 要 求 以 类 、 族 和 组 件 来 表达 。 这 里 定义 了 CC 标准 中 安全 功能 要 求 的 内 容 
和 形式 ,并 可 为 需要 向 ST 中 添加 新 组 件 的 组 织 提 供 指 南 。 

(1) 类 结构 : 每 个 功能 类 包括 类 名 、 类 介绍 和 一 个 或 多 个 功能 族 。 

类 名 提供 标识 和 划分 功能 类 所 必需 的 信息 。 类 的 分 类 信息 由 三 个 字符 的 简 名 组 成 ， 
例如 FAU( 安 全 审计 )。 类 介绍 描述 这 些 族 满足 安全 目标 的 通用 意图 或 方法 , 它 用 图 描述 
不 中 风 履 寞 生 个 洲 中 千村 丙 民 闪光 

(2) 族 结构 : 每 个 功能 族 包 括 族 名 、 族 行为 .组 件 层次 .管理 .审计 和 一 个 或 多 个 
组 件 。 

族 名 提供 标识 和 划分 功能 族 所 必需 的 分 类 和 描述 信息 。 族 的 分 类 信息 由 七 个 字符 的 
简 名 组 成 ,前 三 个 是 类 的 简 名 ,后 面 是 一 个 下 划 线 和 族 的 简 名 ,例如 FAU_GEN (安全 审 
计数 据 产 生 ) 。 

族 行为 是 对 功能 族 的 叙述 性 描述 ,说 明 其 安全 目标 ,以 及 对 功能 要 求 的 一 般 描述 。 族 
的 安全 目标 阐述 它 可 以 解决 的 安全 问题 。 功 能 要 求 的 描述 总 结 组 件 中 包含 的 所 有 功能 要 
求 , 该 描述 可 以 被 PP、ST 和 功能 包 的 作者 用 来 评价 该 族 是 否 与 他 们 的 特定 需求 相关 。 

功能 族 包 含 一 个 或 多 个 组 件 ,组 件 层 次 提供 选择 功能 组 件 的 信息 。 它 描述 了 该 功能 
族 所 用 的 组 件 和 它们 的 基本 原理 。 

管理 要 求 包含 PP 或 ST 作者 应 考虑 的 给 定 组 件 的 管理 活动 信息 。 管 理 要 求 在 管理 
类 (FMT) 的 组 件 中 描述 。 该 信息 是 提示 性 的 ,PP 或 ST 可 以 选择 已 指定 的 管理 要 求 或 包 
括 其 他 没 列 出 的 管理 要 求 。 

如 果 PP 或 ST 包含 安全 审计 类 (FAU) 中 的 要 求 , 则 审计 要 求 包括 供 PP 或 ST 作者 
选择 的 可 审计 的 事件 。 这 些 要 求 包括 FAU_GEN 族 的 组 件 所 支持 的 , 按 各 种 不 同 级 别 表 
示 的 安全 相关 事件 。 

(3) 组 件 结构 : 每 个 组 件 包 括 组 件 标 识 ,依赖 关系 和 一 个 或 多 个 功能 元 素 。 

组 件 标 识 提 供 标识 、 分 类 、 注 册 和 交叉 引用 组 件 所 必需 的 描述 性 信息 。 它 包括 : 反映 
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组 件 目标 的 名 字 ; 组 件 所 属 的 类 、 族 和 在 族 中 编号 的 简 名 ,作为 分 类 ,注册 和 交叉 引用 组 件 
的 主要 引用 名 ;层次 表 , 说 明 这 个 组 件 依赖 于 哪些 组 件 。 

每 个 组 件 包 含 一 组 功能 元 素 , 它 们 是 分 别 定义 并 相互 独立 的 最 小 安全 功能 要 求 。 

当 一 个 组 件 依赖 于 其 他 组 件 的 功能 ,或 必须 与 其 他 组 件 交互 才能 完成 其 功能 时 ,就 产 
生 了 依赖 关系 。 每 个 组 件 都 有 一 个 依赖 关系 表 , 列 出 直接 依赖 的 其 他 功能 和 保证 组 件 。 
当然 ,有 些 组 件 被 标明 无 依赖 关系 ,有 时 依赖 关系 可 以 在 多 个 功能 要 求 中 选择 。CC 的 依 
赖 关 系 是 规范 的 ,在 PP 或 ST 中 必须 满足 ,除非 PP 或 ST 的 作者 说 明 不 适用 的 理由 。 

(4) 允许 的 功能 组 件 操作 : 用 于 PP、ST 或 包 的 功能 组 件 ,可 以 经 剪裁 满足 特定 的 安 
全 目标 。 由 于 要 考虑 它们 的 依赖 关系 ,这 种 选择 和 剪裁 是 很 复杂 的 ,只 限于 一 组 允许 的 操 
作 。 每 个 功能 组 件 都 有 一 个 允许 的 操作 列表 ,允许 的 操作 可 选 自 反复 .赋值 .选择 和 细 化 。 
反复 表示 对 不 同 操作 多 次 使 用 同一 组 件 。 赋 值 表示 指定 参数 满足 特定 的 安全 目标 。 选 择 
表示 从 列表 中 选 一 个 或 多 个 项 目 , 缩 小 一 个 组 件 元 素 的 范围 。 细 化 表示 增加 细节 限定 可 
接受 的 实现 集 , 它 不 允许 提出 新 的 安全 要 求 。 

3) 各 类 简介 

CC 提出 了 11 个 功能 类 ,包括 安全 审计 类 (FAU)、 通 信 类 (FCO)、 密 码 支 持 类 
(FCS) ,用 户 数据 保护 类 (FDP)、 标 识 和 鉴别 类 (FIA)、 安 全 管理 类 (FMT)、 隐 秘 类 
(FPR) TSF 保护 类 (FPT) .资源 利用 类 (FRU)、TOE 访问 类 FTA 和 可 信和 路 径 / 通 道 类 
(FTP)。 限 于 篇 幅 , 这 里 只 对 这 些 功能 类 进行 简单 介绍 。 

(1) 安全 审计 类 (FAU)。 安 全 审计 包括 识别 .记录 、 存 储 和 分 析 与 安全 活动 有 关 的 信 
息 。 检 查 审 计 结 果 可 用 来 判断 发 生 了 哪些 安全 相关 活动 及 哪个 用 户 要 对 这 些 活 动 负责 。 
安全 审计 类 包括 六 个 功能 族 : 安全 审计 自动 响应 族 (FAU_ARP) 安全 审计 数据 产生 族 
(FAU_GEN) ,安全 审计 分 析 族 (FAU_SAA) .安全 审计 查阅 族 (FAU_SAR) ,安全 审计 事 
件 选 择 族 (FAU_SEL) 和 安全 审计 事件 存储 族 (FAU_STG)。 

(2) 通信 类 (FCO)。 在 数据 交换 中 ,本 类 用 于 确保 信息 传输 发 起 者 的 身份 ( 原 发 证 
明 ) 和 确保 信息 传输 接收 者 的 身份 (接收 证 明 )。 既 确保 发 起 者 不 能 否认 发 送 过 信息 ,又 确 
保 接收 者 不 能 否认 收 到 过 信息 。 通 信和 类 包括 两 个 功能 族 : 原 发 抗 抵赖 (FCO_NRO) 和 接 
收 抗 抵赖 (FCO_NRR)。 

(3) 密码 支持 类 (FCS)。TSF 可 以 应 用 密码 功能 满足 一 些 安全 目的 ,例如 ,标识 和 鉴 
别 、 抗 抵赖 、 可 信 路 径 、 可 信 信 道 和 数据 分 离 等 。 密 码 功 能 可 以 用 硬件 .软件 和 固件 来 实 
现 。 密 码 支 持 类 包括 密 钥 管 理 族 (FCS_CKM) 和 密码 运算 族 (FCS_COP)。 密 钥 管 理 族 解 
决 密 钥 管理 问题 ,密码 运算 族 解 决 密码 算法 的 应 用 问题 。 

(4) 用 户 数据 保护 类 (FDP)。 本 类 规定 了 与 保护 用 户 数据 相关 的 TOE 安全 功能 要 
求 和 TOE 安全 功能 策略 。FDP 分 为 若干 族 ,这 些 族 分 为 下 面 四 个 组 ,用 于 处 理 TOE 内 
部 在 输入 输出 和 存储 期 间 的 用 户 数据 ,以 及 与 用 户 数据 直接 相关 的 安全 属性 。 

Q@ 用 户 数据 保护 安全 功能 策略 组 : 由 访问 控制 策略 族 (FDP_ACC) 和 信息 流 控制 策 
略 族 (FDP_IFC) 组 成 。 它 们 的 组 件 允 许 PP 或 ST 作者 命名 用 户 数据 安全 功能 策略 ,并 定 
义 该 策略 的 控制 范围 。 这 些 安全 策略 的 名 字 将 在 “访问 控制 SFP”,“ 信 息 流 控 制 SFP”, 或 
为 其 赋值 的 功能 组 件 中 使 用 。 已 命名 的 访问 控制 和 信息 流 控制 SFP 功能 的 规则 ,分 别 在 
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下 面 FDP_ACF 和 FDP_IFF 中 定义 。 

@ 用 户 数据 保护 形式 组 : 由 访问 控制 功能 族 (FDP_ACF), 信 息 流 控制 功能 族 
(FDP_IFF) .内 部 TOE 传输 族 (FDP_ITT)、 残 余 信 息 保护 族 (FDP_ RIP)、 反 转 族 
(FDP_ROL) 和 存储 数据 的 完整 性 族 (FDP_SDD 组 成 。 

@ 脱 机 存储 、 输 入 和 输出 组 : 由 数据 鉴别 族 (FDP_DAU)、 输 出 到 TSF 控制 外 族 
(FDP_ETC) 和 从 TSF 外 输入 族 (FDP_ITC) 组 成 。 这 些 族 说 明了 进出 安全 功能 控制 范围 
时 的 可 信 传 送 。 

由 TSF 间 通 信 组 : 由 TSF 间 用 户 数据 传输 的 保密 性 保护 族 CFDP_UCT) 和 TSF 间 
用 户 数 据 传输 的 完整 性 保护 族 (FDP_UIT) 组 成 。 这 些 族 说 明了 TOE 的 TSF 与 其 他 可 
信 了 IT 产品 间 的 通信 。 

(5) 标识 与 鉴别 类 (FIA)。 授 权 用 户 的 无 歧义 的 标识 ,以 及 安全 属性 与 用 户 和 主体 
的 正确 关联 是 实施 预定 安全 策略 的 关键 。 因 此 ,需要 通过 标识 与 鉴别 处 理 : 用 户 身份 的 
确定 和 验证 ,确定 用 户 与 TOE 交互 的 权限 ,以 及 每 个 授权 用 户 安全 属性 的 正确 关联 (如 
身份 .组 .角色 ,安全 级 ,完整 级 等 )。FIA 由 鉴别 失败 族 (FIA_AFL)、 用 户 属性 定义 族 
(FIA_ATD) ,秘密 的 规范 族 (FIA_SOS)、 用 户 鉴 别 族 (FIA_UAU)、 用 户 标识 族 
(FIA_UID) 以 及 用 户 一 一 主体 绑 定 族 (FIA_USB) 组 成 。 

(6) 安全 管理 类 (FMT) 。 安 全 管理 类 的 目的 在 于 管理 TSF 数据 ;管理 安全 属性 ,如 
访问 控制 表 和 能 力 表 ;管理 TSF 功能 ,如 功能 的 选择 ,影响 TSF 行为 的 规则 或 条 件 ;定义 安 
全 角色 。FMT 由 TSF 中 功能 的 管理 族 (FMT_MOF) .安全 属性 的 管理 族 (FMT_MSA)、 
TSF 数据 管理 族 (FMT_MTD) ,撤销 族 (FMT_REV) ,安全 属性 到 期 族 (FMT_SAE) .安全 属 
性 角色 族 (FMT_SMR) 组 成 。 

(7) 隐秘 类 (FPR)。 本 类 规定 隐秘 要 求 ,这 些 要 求 为 用 户 提 供 其 身份 不 被 其 他 用 户 发 
现 或 滥用 的 保护 。FPR 由 匿名 族 (FPR_ANO) ,假名 族 (FPR_PSE) ,不 可 关联 性 族 (FPR_ 
UNL) 和 不 可 观察 性 族 (FPR_UNO) 组 成 。 

(8) TSF 保护 类 (FPT)。 本 类 一 方面 与 提供 TSF 的 机 制 的 完整 性 和 管理 有 关 , 另 一 方 
面 与 TSF 数据 的 完整 性 有 关 。FPT 的 组 件 对 保证 TOE 中 的 SFP 不 被 算 改 和 破坏 是 必需 
的 。FPT 把 TSF 分 成 三 部 分 。 

Q@ TSF 抽象 机 : 它 可 以 是 虚拟 的 ,也 可 以 是 物理 的 机 器 ,这 取决 于 评估 期 间 特 定 的 
TSF 实现 。 

@ TSF 实现 : 在 抽象 机 上 执行 并 实现 TSP 的 机 制 。 

@ TSF 数据 : 指导 执行 TSP 的 管理 数据 库 。 

FPT 类 由 以 下 各 族 组 成 : 根本 抽象 机 测试 (FPT_AMT)、 失 败 保护 (FPT_FLS) ,输出 
TSF 数据 的 可 用 性 (FPT_ITA ) .输出 TSF 数据 的 保密 性 (FPT_ITC) .输出 TSF 数据 的 完整 
性 (FPT_ITD TOE 内 TSF 数据 的 传送 (FPT_ITT)、TSF 物理 保护 (FPT_PHP) .可 信和 恢复 
(FPT_RCV) 、 重 放 检 测 (FPT_RPL) ,参照 仲裁 (FPT_RVM) 、 域 分 离 (FPT_SEP) .状态 同步 
协议 (FPT_SSP) .时 间 戳 (FEFPT_STM) 、TSF 间 TSF 数据 的 一 致 性 (FPT_TDC) .TOE 内 TSF 
数据 复制 的 一 致 性 (FPT_TRC) .TSF 自 检 (FPT_TSF)。 

(9) 资源 利用 类 (FRU)。 本 类 包括 容错 族 (FRU_FLT) .服务 优 先 级 族 (FRU_PRS) 和 资 
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源 分 配 族 (FRU_RSA) ,并 通过 它们 来 支持 资源 的 处 理 或 存储 。 容 错 族 提供 保护 ,防止 由 
TOE 失败 引起 的 资源 不 可 用 。 服 务 优 先 族 确保 资源 分 配给 重要 的 任务 ,不 被 低 优先 级 的 任 
务 独 占 。 资 源 分 配 族 提供 可 用 资源 的 使 用 限制 ,防止 用 户 独占 资源 。 

(10) TOE 访问 类 (FTA ) 。 本 类 规定 用 以 控制 建立 用 户 会 话 的 功能 要 求 。 具 体 由 可 选 
属性 范围 限定 族 (FTA _LSA)、 多 重 并 发 会 话 限定 族 (FTA _MCS)、 会 话 锁定 族 
(FTA_SSL) .TOE 访问 旗 标 族 (FTA_TAB) TOE 访问 历史 族 (FTA_TAH )、TOE 会 话 建立 
族 (FTA_TSE) 组 成 。 

(11) 可 信 路 径 /通道 类 (FTP)。 本 类 的 族 提供 用 户 和 TSF 之 间 可 信和 通信 和 路径, 以 及 
TSF 和 其 他 可 信 IT 产品 之 间 可 信 通 信 信 道 的 功能 。 可 信 路 径 通常 用 于 初始 标识 或 鉴别 用 
户 等 活动 ,但 也 能 用 于 用 户 会 话 过 程 的 其 他 时 刻 。 可 信 路 径 可 由 用 户 或 TSF 发 起 , 它 确保 
可 信 路 径 的 用 户 响应 受到 保护 ,不 会 被 不 可 信 应 用 修改 或 泄露 给 不 可 信 应 用 。FTP 包括 两 
个 族 : TSF 间 可 信 信 道 族 (FTP_ITC) 和 可 信 路 径 族 (FTP_TRP) 。 


3 安全 保证 要 求 

CC 安全 保证 要 求 包括 衡量 保证 尺度 的 评估 保证 级 (EAL) 组 成 保证 级 别 的 每 个 保证 组 
件 以 及 PP 和 ST 的 评估 准则 。 

1) 几 个 关键 术语 

确认 (confirm) : 表示 某 些 细节 需要 进行 复查 , 且 需 要 对 其 充分 性 做 出 独立 的 判断 。 此 
术语 只 适合 评估 者 行为 。 

验证 (verify) : 类 似 于 “确认 ”, 但 更 严格 。 当 它 用 于 评估 者 行为 时 ,表明 要 求 评估 者 独立 
地 做 出 判断 。 

检查 (check): 类 似 于 “确认 ”或 “验证 ”, 但 比较 不 严格 , 它 仅 要 求 评估 者 通过 粗略 分 析 做 
出 决定 。 

连贯 (coherent): 指 一 个 具有 可 辨别 意义 的 .逻辑 上 有 序 的 实体 。 对 文档 来 说 , 既 指 文 
档 的 文本 ,又 指 文件 的 结构 能 为 读者 所 理解 。 

完备 (complete) : 指 提供 一 个 实体 所 有 必要 的 部 分 。 对 文档 来 说 , 指 文档 包含 所 有 的 信 
息 ,其 详细 程度 达到 不 再 需要 进一步 解释 的 水 平 。 

一 致 (consistent): 指 两 个 或 更 多 实体 之 间 没 有 明显 的 矛盾 。 

对 抗 (counter) : 表示 一 个 安全 对 象 抵抗 一 种 特殊 的 威胁 ,但 不 表示 威胁 最 终 被 完全 
根除 。 

严格 证 明 (prove) : 指数 学 意义 上 的 形式 化 分 析 ,在 各 方面 都 是 严格 的 。 

论证 (demonstrate) : 指 一 个 可 得 出 结论 的 分 析 , 不 如 “严格 证 明 ” 严 格 。 

描述 (describe) : 指 提 供 实 体 的 特定 细节 。 

决定 (determine) : 指 一 个 可 得 出 特定 结论 的 独立 分 析 。 它 不 同 于 “确认 ”或 “验证 ”, 后 
者 意味 着 分 析 已 经 完成 。 

确保 (ensure) : 指 行为 和 结果 之 间 有 很 强 的 因果 关系 ,一 般 前 面 加 “帮助 ”一 起 使 用 , 表 
示 它 仅仅 基于 行为 而 不 是 对 结果 的 充分 肯定 。 

彻底 (exhaustive) : 表明 实施 分 析 或 其 他 行为 , 它 比 “系统 的 ”更 强 。 它 不 仅 要 根据 一 个 
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明确 的 计划 采取 系统 化 的 方法 实施 分 析 或 其 他 行为 ,而 且 其 后 的 计划 应 足以 保证 所 有 可 能 
的 方法 都 被 采用 了 。 

解释 (explain) : 不 同 于 “描述 ”或 “论证 ”, 它 回答 “为 什么 ”而 不 试图 证 明 所 采取 的 行动 
是 最 佳 的 。 

内 在 一 致 (internally consistent) : 指 实体 的 任何 方面 之 间 都 没有 明显 矛盾 。 

证 明 (justification) : 指 用 于 得 出 结论 的 分 析 , 比 “论证 ”更 严格 。 

相互 支持 (mutually supportive) : 指 一 组 实体 占有 的 资源 不 与 其 他 实体 相 冲 突 , 甚 至 可 
能 辅助 其 他 实体 完成 任务 。 它 不 判断 所 有 有 关 实 体 是 否 直 接 支 持 组 内 的 其 他 实体 ,而 是 一 
个 更 一 般 意 义 上 的 判断 。 

规定 (specify) : 类 似 于 “描述 ”, 但 更 严格 和 准确 。 它 十 分 类 似 于 “定义 ”。 

2) 保证 要 求 的 结构 组 成 

安全 保证 要 求 中 最 抽象 的 集合 称 做 类 ,每 一 个 类 包括 多 个 保证 族 ,每 个 族 又 包括 多 个 保 
证 组 件 , 每 个 组 件 又 包括 多 个 保证 元 素 。 类 和 族 提供 对 保证 要 求 分 类 的 分 类 法 ,而 组 件 用 来 
指明 PP 和 ST 中 的 保证 要 求 。 

(1) 类 结构 : 每 个 保证 类 包括 类 名 、 类 介绍 和 一 个 或 多 个 保证 族 。 

类 名 提供 唯一 的 名 字 ,说 明 保证 类 覆盖 的 主题 。 保 证 类 的 唯一 简 名 由 A 开头 的 
三 个 字符 组 成 ,是 引用 保证 类 的 主要 方法 。 类 介绍 描述 类 的 组 成 ,包含 涉及 该 类 意 
图 的 支持 性 文字 。 

(2) 族 结构 : 每 个 保证 族 包括 族 名 、 目 标 、 组 件 分 级 .应 用 注释 和 一 个 或 多 个 保证 组 件 。 

族 名 提供 唯一 的 名 字 ,说 明 与 保证 族 覆 盖 的 主题 相关 的 信息 。 保 证 族 的 唯一 简 名 是 
类 简 名 、 加 下 划 线 、 加 与 族 名 有 关 的 三 个 字符 组 成 ,是 引用 保证 类 的 主要 方法 。 

目标 说 明了 保证 族 的 意图 。 目 标 所 要 求 的 任何 特定 细节 都 应 包含 在 保证 组 件 之 中 。 

保证 族 包 含 了 一 个 或 多 个 组 件 , 组 件 分 级 描述 可 使 用 的 组 件 和 它们 的 差异 。 

应 用 注释 提供 保证 族 的 附加 信息 。 这 些 附 加 信息 是 保证 族 用 户 ( 如 PP 或 ST 作者 、 
TOE 的 设计 者 和 评估 者 等 ) 感 兴趣 的 信息 , 它 包括 限制 使 用 的 警告 和 特别 注意 点 的 非 形 
式 化 描述 。 

(3) 组 件 结构 : 每 个 组 件 包 括 组 件 标 识 、 目 标 、 应 用 注释 ,依赖 关系 和 一 个 或 多 个 保 
证 元 素 。 
组 件 标识 提供 标识 .分 类 注册 和 交叉 引用 组 件 所 必需 的 描述 性 信息 。 每 个 保证 组 件 
的 名 字 是 其 唯一 的 简洁 标识 ,是 引用 保证 组 件 的 主要 方法 。 名 字 是 族 简 名 、 加 一 个 点 、 加 
数字 符号 。 数 字符 号 根据 组 件 在 族 类 的 顺序 从 1 开始 编号 。 

目标 说 明 特 定 保证 组 件 的 意图 。 

应 用 注释 提供 保证 组 件 的 附加 信息 。 

当 一 个 组 件 非 自 充 分 而 依赖 于 其 他 组 件 时 ,就 产生 了 依赖 关系 。 每 个 组 件 都 有 一 个 
依赖 关系 表 , 列 出 它 与 其 他 组 件 的 依赖 关系 。 当 然 , 也 有 些 组 件 被 标明 无 依赖 关系 。 依 赖 
关系 标识 了 所 依赖 的 保证 组 件 的 最 小 集合 ,在 依赖 关系 表 中 同 层 的 组 件 可 用 来 满足 依赖 
关系 。 特 殊 情 况 下 依赖 关系 可 能 不 适用 ,此 时 ,PP 或 ST 作者 需要 说 明 不 适用 的 理由 , 才 
可 以 选择 不 去 满足 这 种 依赖 关系 。 
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每 个 组 件 包含 一 组 保证 元 素 ,一 个 保证 元 素 就 是 一 个 最 小 的 安全 要 求 。 每 一 个 保证 
元 素 都 属于 下 列 三 组 中 的 一 组 : 开发 者 行为 元 素 , 即 开发 者 将 实施 的 活动 ,其 编号 上 附加 
字母 D; 证 据 的 内 容 和 形式 元 素 , 即 要 求 的 证 据 .证 据 显 示 和 表达 的 信息 ,其 编号 上 附加 字 
母 C; 评 估 者 行为 元 素 , 即 评估 者 实施 的 活动 ,其 编号 上 附加 字母 E。 

开发 者 行为 元 素 的 行为 ,根据 证 据 的 内 容 和 形式 元 素 中 的 证 据 材 料 证 明 是 否 合格 。 
开发 者 行为 元 素 及 证 据 的 内 容 和 形式 元 素 代表 一 个 开发 者 的 保证 要 求 , 即 论 证 TOE 的 
安全 功能 保证 。 通 过 满足 这 些 要 求 , 开 发 者 能 更 加 确信 TOE 满足 PP 或 ST 的 功能 和 保 
证 要 求 。 评 估 者 行为 元 素 隐 含 对 前 面 两 组 元 素 中 规定 要 求 的 证 实 , 它 结合 证 据 的 内 容 和 
形式 ,指明 在 验证 TOE 的 ST 中 将 要 进行 的 评估 活动 。 它 通过 证 明 PP 或 ST 的 有 效 性 ， 
且 TOE 满足 这 些 要 求 , 确 认 该 TOE 满足 其 安全 目标 。 

3) 各 类 简介 

CC 提出 了 10 个 保证 类 ,包括 保护 轮廓 评估 准则 类 (APE) .安全 目标 评估 准则 类 
(ASE) .配置 管理 类 (ACM)、 交 付 和 运行 类 (ADO)、 开 发 类 (ADV)、 指 导 性 文件 类 
(AGD) .生命 周期 支持 类 (ALC) .测试 类 (ATE)、 脆 弱 性 评定 类 (AVA), 保 证 维护 类 
(AMA)。 限 于 篇 幅 , 这 里 只 对 这 些 安全 保证 类 进行 简单 介绍 。 

(1) 保护 轮廓 评估 准则 类 (APE) 和 安全 目标 评估 准则 类 (ASE)。 保护 轮廓 (PP) 和 
安全 目标 (ST) 的 评估 要 求 被 视 为 保证 类 ,并 且 表 示 为 其 他 保证 类 相似 的 结构 ,后面 将 对 
其 进行 介绍 。 

(2) 保证 维护 类 (AMA)。CC 对 保证 维护 类 的 要 求 也 被 视 为 一 个 保证 类 ,并 且 也 用 
其 他 保证 类 相似 的 结构 ,后 面 也 将 对 其 进行 介绍 。 

(3) 配置 管理 类 (ACM)。 配 置 管理 类 通过 细 化 和 修改 TOE 及 其 他 有 关 信 息 , 进 行 
规范 和 控制 ,确保 TOE 的 完整 性 。 它 阻止 对 TOE 非 授 权 的 修改 、 添 加 和 删除 ,保证 用 于 
评估 的 TOE 和 文档 是 准备 交付 的 TOE 和 文档 。ACM 包含 的 族 以 及 族 内 的 组 件 之 间 的 
层次 结构 如 图 9-4 所 示 。 其 中 ,配置 管理 自动 化 族 包括 两 个 组 件 : 部 分 配置 管理 自动 化 
(ACM_AUT.1) 和 完全 配置 管理 自动 化 控制 (ACM_AUT. 2)。 配 置 管理 能 力 族 包括 五 
个 组 件 : 版 本 号 (ACM_CAP. 1) .配置 项 (ACM_CAP. 2) .授权 控制 (ACM_CAP. 3) .产生 
支持 和 接受 程序 (ACM_ACP. 4) .高 级 支持 (ACM_ACP. 5)。 配 置 管理 范围 族 包括 三 个 
组 件 : TOE 配置 管理 范围 ( ACM_SCP. 1) .跟踪 配置 管理 范围 问题 (ACM_SCP. 2) .配置 
管理 范围 开发 工具 (ACM_SCP. 3) 。 


配 绽 管理 类 (ACM) 


配置 管理 自动 化 族 (ACM_AUT) 1 H 2 
配置 管理 能 力 族 (ACM_CAP) 1 | 2 | 3 上 4 有 5 
配置 管理 范围 族 (ACM_SCP) 1 {213 


图 9-4 配置 管理 类 分 解 
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(4) 交付 和 和 运行 类 (ADO) 。 交 付 和 和 运行 类 定义 有 关 安 全 交付 、 安 装 . 运 行 TOE 的 措 
施 ,程序 和 标准 的 要 求 ,确保 TOE 提供 的 安全 保护 在 传递 .安装 .启动 和 运行 时 不 会 被 削 
弱 。ADO 包含 的 族 以 及 族 内 的 组 件 之 间 的 层次 结构 如 图 9-5 所 示 。 其 中 ,交付 族 包 括 三 
个 组 件 : 交付 过 程 (ADO_DEL. 1) .修改 监测 (ADO_DEL. 2) .修改 防止 (ADO_DEL. 3)。 
安装 .生成 和 启动 族 包括 两 个 组 件 : 安装 .生成 和 启动 过 程 (ADO_IGS. 1) ,日 志 生 成 
(CADO.IGS: 2。 


交付 和 运行 类 (ADO) 


交付 族 (ADO_DEL) | 1 | 2H3 


安装 、 生 成 和 启动 族 (ACM_CAP) | [2| 


图 9-5 交付 和 运行 类 分 解 


(5) 开发 类 (ADV) 。 开 发 类 定义 ST 从 TOE 概要 规范 到 实际 TSF 的 逐步 细 化 的 一 
系列 要 求 ,这 些 要 求 包括 功能 规范 ,高层 设计 、 实 现 表 示 和 低层 设计 。 其 他 要 求 还 包括 在 
各 种 TSF 表示 之 间 建 立 相应 的 映射 ,TSF 内 部 结构 要 覆盖 模块 化 .层次 化 以 及 复杂 性 最 
小 化 ,建立 安全 策略 模型 以 及 安全 策略 、 安 全 策略 模型 与 功能 规范 之 间 的 对 应 映射 。 
ADYV 包含 的 族 以 及 族 内 的 组 件 之 间 的 层次 结构 如 图 9-6 所 示 。 其 中 ,功能 规范 族 包 括 四 
个 组 件 : 非 形式 化 功能 规范 (ADV_FSP. 1) .完全 定义 的 外 部 接口 (ADV_FSP. 2) 、 半 形式 
化 功能 规范 (ADV_FSP. 3) .形式 化 功能 规范 (ADV_FSP. 4)。 高 层 设 计 族 包括 五 个 组 
件 : 描述 性 高 层 设计 (ADV_HLD. 1) ,安全 加 强 的 高 层 设 计 (ADV_HLD. 2) 、 半 形式 化 高 
层 设计 (ADV _ HLD. 3)、 半 形式 化 高 层 解 释 (ADV _ HLD. 4)、 形 式 化 高 层 设计 
(ADV_HLD. 5)。 实 现 表 示 族 包括 三 个 组 件 : TSF 的 子 集 实现 (ADV_IMP. 1)、TSF 的 


开发 类 (ADV) 


站 ”功能 规范 族 (ADV_FSP) L1H2 [3 四 

门 高 层 设 计 族 (ADY_HLD) 1 | 2 | 3 有 4 HH 5 | 
实现 表示 族 (ADV_IMP) 1H 2 | 3 

| | TsF 内 部 族 ADV_INT) 上 1 | 2 寺 3 

| 低层 设计 旋 Apv_L4p) 上 | 2 -3 

| | 表示 对 应 性 族 (ADV_RCR) 站 1 2 | ; 
安全 第 咯 模 型 (ADV_SPM) | 1 | 2 | 3 


图 9-6 开发 类 分 解 
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实现 (ADV_IMP. 2) .TSF 的 结构 化 实现 (ADV_IMP. 3)。TSF 内 部 族 包 括 三 个 组 件 : 模 
块 化 (ADV_INT. 1) .复杂 性 降低 (ADV_INT. 2) .复杂 性 最 小 化 (ADV_INT. 3)。 低 层 设 
计 族 包括 三 个 组 件 : 描述 性 低层 设计 CADV_LLD. 1) 、 半 形式 化 低层 设计 (ADV_LLD. 2) 、 形 
式 化 低层 设计 (ADV_LLD. 3)。 表 示 对 应 性 族 包 括 三 个 组 件 : 非 形式 化 对 应 性 论证 
(ADV_RCR. 1) 、 半 形式 化 对 应 性 论证 (ADV_RCR. 2) .形式 化 对 应 性 论证 (ADV_RCR. 3) 。 
安全 策略 模型 族 包 括 三 个 组 件 : 非 形式 化 TOE 安全 策略 模型 (ADV_FSP. 1) 、 半 形式 化 
TOE 安全 策略 模型 (ADV_FSP. 2) .形式 化 TOE 安全 策略 模型 (ADV_FSP. 3) 。 

(6) 指导 性 文件 类 (AGD)。 指 导 性 文件 类 对 操 
作文 档 的 易 懂 性 .覆盖 范围 和 完整 性 等 方面 定义 了 


指导 性 文档 类 (AGD) 


指导 性 要 求 。 该 文档 针对 用 户 和 管理 员 提 供 两 种 类 二 | 管理 员 指南 族 (AGD ADM) 二 1 
型 的 信息 ,是 TOE 安全 运行 的 一 个 重要 因素 。 一 一 
ADV 包含 的 族 以 及 族 内 的 组 件 之 间 的 层次 结构 如 。 和 W 区 AGPs 1 


图 9-7 所 示 。 其 中 ,管理 员 指 南 族 和 用 户 指 南 族 各 图 9-7 指导 性 文档 类 分 解 
包含 一 个 组 件 。 

(7) 生命 周期 支持 类 (ALC)。 生 命 周 期 支持 类 通过 一 个 为 TOE 开发 的 所 有 步骤 制 
定 的 生命 周期 模型 ,明确 保证 要 求 。 生 命 周 期 支持 类 包括 纠正 缺陷 的 程序 和 策略 以 及 保 
护 开发 环境 的 工具 技术 和 安全 措施 。ALC 包含 的 族 以 及 族 内 的 组 件 之 间 的 层次 结构 如 
图 9-8 所 示 。 其 中 ,开发 安全 族 包 括 两 个 组 件 : 安全 措施 标识 (ALC_DVS. 1) .安全 措施 
的 充分 性 (ALC_DVS. 2)。 缺 陷 纠 正 族 包括 三 个 组 件 : 基本 缺陷 纠正 (ALC_FLR. 1)、 缺 
陶 报 告 过 程 (ALC_FLR. 2) .系统 缺陷 纠正 (ALC_FLR. 3)。 生 命 周期 定义 族 包 括 三 个 组 
件 : 开发 者 定义 的 生命 周期 模型 (ALC_LCD. 1) ,标准 化 生命 周期 模型 (ALC_LCD. 2) .可 
测量 的 生命 周期 模型 (ALC_LCD. 3)。 工 具 和 技术 族 包括 三 个 组 件 : 明确 定义 的 开发 工 
具 (ALC_TAT. 1) .遵从 实现 标准 (ALC_TAT. 2) .遵从 实现 标准 一 -TOE 所 有 部 分 
(AUC TAT. Sy: 

(8) 测试 类 (ATE)。 测 试 类 陈述 了 论证 TSF 满足 TOE 安全 功能 要 求 的 测试 要 求 。 
ATE 包含 的 族 以 及 族 内 的 组 件 之 间 的 层次 结构 如 图 9-9 所 示 。 其 中 ,覆盖 范围 族 包 括 三 
个 组 件 : 范围 证 据 (ATE_COV. 1)、 范 围 分 析 (ATE_COV.2)、 范 围 的 严格 分 析 
(ATE_COV. 3) 。 深 度 族 包括 三 个 组 件 : 测试 到 高 层 设计 (ADE_DPT. 1) .测试 到 低层 设计 


生命 周期 支持 类 (ALC) | 测试 类 (ATE) | 
站 开发 安全 族 (ALC_DVS) 1 | 2 覆盖 范围 族 (ATE_COV) 1H2 上 3 
缺陷 纠正 族 (ALC_FLR) H 2 站 3 深度 族 (ATE_DPT) 1 2 上 3 
生命 周期 定义 族 (ALC_LCD) || (上 | 2 上 3 动能 测试 族 (ATE FUN) | 上 | TH 2 
工具 和 技术 族 (ALC_TAD Ht1H2H3 独立 性 测试 族 (ATE IND) | 1H 2H 3 
图 9-8 生命 周期 支持 类 分 解 图 9-9 测试 类 分 解 
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(ATE_DPT. 2) ,测试 到 实现 表示 (ATE_DPT. 3) 。 功 能 测试 族 包 括 两 个 组 件 : 功能 测试 
(ATE_FUN.1) 和 顺序 的 功能 测试 (ATE_FUN. 2)。 独 立 性 测试 族 包 括 三 个 组 件 : 独立 
性 测试 一 一 一 致 性 (ATE_IND.1) .独立 性 测试 一 一 抽样 (ATE_IND. 2) ,独立 性 测试 一 
全 部 (ATE_IND. 3) 。 

(9) 脆弱 性 评定 类 (AVA)。 脆 弱 性 评定 类 定义 表示 脆弱 性 的 指导 性 要 求 , 它 指 出 构 
造 、 运 行 . 误 用 或 错误 配置 TOE 时 引入 的 脆弱 性 。AVA 包含 的 族 以 及 族 内 的 组 件 之 间 
的 层次 结构 如 图 9-10 所 示 。 其 中 ,隐蔽 通道 分 析 族 包括 三 个 组 件 : 隐蔽 通道 分 析 (AVA_ 
CCA. 1) .系统 化 隐蔽 通道 分 析 (AVA_CCA. 2) .彻底 的 隐蔽 通道 分 析 (AVA_CCA. 3) 。 
误 用 族 包 括 三 个 组 件 : 指南 审查 (AVA_MSU. 1) .分 析 确 认 (AVA_MSU. 2) 对 非 安全 状 
态 的 分 析 和 测试 (AVA_MSU. 3)。TOE 安全 功能 强度 族 包括 一 个 组 件 。 脆 弱 性 分 析 族 
包括 四 个 组 件 : 开发 者 脆弱 性 分 析 (AVA_VLA. 1) ,独立 脆弱 性 分 析 (AVA_VLA. 2) .中 
级 抵抗 力 (AVA_VLA. 3) ,高 级 抵抗 力 (AVA_VLA. 4) 。 


脆弱 性 评定 类 (AVA) 


隐 基 通道 分 析 族 AvA_CCA) ”| 1 2 上 3] 


误 用 族 (AVA_MSU) 上 1 H pa EE.] | 


TOE 安 全 功能 强度 族 (AVA_SOF) | 1 | 


上 脆弱 性 分 析 族 (AVA_VLA) 上 1 H 2 站 3H+ 


图 9-10 ”脆弱 性 评定 分 解 


4) 评估 保证 级 

评估 保证 级 (EAL) 提 供 一 个 递增 的 尺度 ,衡量 所 获 的 保证 级 别 与 达到 此 级 别 的 代价 
和 可 行 性 。 结 构 上 ,评估 保证 级 包括 EAL 名 称 、 目 标 、 应 用 注释 和 保证 组 件 。 其 中 ,EAL 
名 称 提供 关于 EAL 意图 的 描述 性 信息 。 目 标 表 明了 EAL 的 意图 。 应 用 注释 提供 了 
EAL 用 户 ( 如 PP 或 ST 作者 \ 以 该 EAL 为 目标 的 TOE 设计 者 和 评估 者 等 ) 感 兴趣 的 信 
息 , 它 的 表示 是 非 形式 化 的 ,并 且 包 含 了 限制 使 用 的 警告 和 应 特别 注意 的 地 方 。 保 证 组 件 
是 为 每 个 EAL 选择 的 一 组 保证 组 件 。 

CC 对 TOE 的 保证 等 级 定义 了 七 个 逐步 增强 的 EAL, 如 表 9-4 所 示 。 这 些 EAL 由 
保证 组 件 的 一 个 适当 组 合 组 成 。 每 个 EAL 只 包含 每 个 保证 族 的 一 个 组 件 , 以 及 它们 的 
所 有 保证 依赖 关系 。 这 种 增强 是 通过 将 低 等 级 EAL 中 某 保证 组 件 替换 成 同 保证 族 中 更 
高 级 别 的 保证 组 件 ,或 添加 另 一 保证 族 的 保证 组 件 实现 的 。 

(1) 评估 保证 级 1(EAL1) 一 一 功能 测试 。EAL1 适用 于 对 正确 运行 需要 一 定 信 任 ， 
但 安全 威胁 不 严重 的 场合 , 它 为 用 户 提供 了 一 个 TOE 评估 ,包括 依据 一 个 规范 的 独立 性 
测试 ,以 及 对 所 提供 的 指导 性 文档 的 检查 。 即 使 没有 TOE 开发 者 的 帮助 ,EAL1 评估 也 
能 成 功 进行 ,而 且 所 需 费 用 最 少 。 此 级 别 的 评估 要 提供 证 据 表 明 : TOE 的 功能 与 其 文档 
在 形式 上 一 致 , 且 对 已 标识 的 威胁 提供 了 有 效 的 保护 。 


267 


ee 操作 系统 安全 (第 2 版 ) 


表 9-4 评估 保证 级 概要 


评估 保证 级 划分 的 保证 组 件 
保证 类 保 证 族 
EAL1|EAL2|EAL3|EAL4|EAL5|EAL6|EAL7 
ACM_AUT | CM 自动 化 1 1 2 
配置 管理 ACM_CAP | CM 能力 1 2 3 4 4 5 5 
ACM_SCP | CM 范围 1 2 3 3 3 
ADO_DEL | 交付 1 1 2 2 2 3 
交付 和 运行 
ADO_IGS 安装 、 生 成 和 启动 1 1 1 1 1 1 1 
ADV_FSP | 功能 规范 1 1 1 2 3 3 4 
ADV_HLD | 高 层 设计 1 2 2 3 4 5 
ADV_IMP | 实现 表示 1 2 1 E 
开发 ADV_INT | TSF 内 部 1 2 3 
ADV_LLD | 低层 设计 1 1 2 3 
ADV_RCR | 表示 对 抗 性 1 i 1 1 2 2 3 
ADV_SPM | 安全 策略 模型 1 3 9 3 
AGD_ADM | 管理 员 指 南 1 1 1 1 1 1 1 
指导 性 文档 
AGD_USR | 用 户 指 南 1 1 1 1 1 1 1 
ALC_DVS | 开发 安全 1 1 1 2 2 
ALC_FLR | 缺陷 纠正 
生命 周期 支持 
ALC_LCD | 生命 周期 定义 1 2 2 3 
ALC_TAT | 工具 和 技术 和 2 3 3 
ATE_COV | 覆盖 范围 1 2 2 2 3 3 
ATE_DPT | 深度 1 1 2 a 了 
测试 
ATE_FUN | 功能 测试 1 1 1 1 多 2 
ATE_IND | 独立 性 测试 I 2 3 名 2 3 
AVA_CCA | 隐蔽 信道 分 析 1 用 2 
AVA_MSU | 误 用 1 有 多 3 3 
脆弱 性 评定 
AVA_SOF | TOE 安全 功能 强度 1 1 1 1 1 1 
AVA_VLA | 脆弱 性 分 析 1 1 3 4 4 


EAL1 通过 功能 和 接口 规范 ,以 及 指导 性 文档 ,对 安全 功能 进行 分 析 , 提 供 一 种 基础 
级 别 的 保证 和 对 安全 行为 的 理解 。 这 种 分 析 由 TOE 安全 功能 的 独立 性 测试 支持 。 
(2) 评估 保证 级 2(EAL2) 一 一 结构 测试 。EAL2 在 设计 和 测试 时 需要 与 开发 者 合 
作 ,但 不 需要 增加 过 多 的 投入 ,适用 于 低 到 中 等 级 别 的 安全 系统 。 
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EAL2 通过 功能 和 接口 规范 、 指 导 性 文档 和 TOE 高 层 设计 ,对 安全 功能 进行 分 析 。 
这 种 分 析 由 以 下 测试 支持 : TOE 安全 功能 独立 性 测试 ,开发 者 基于 功能 规范 进行 测试 得 
到 的 证 据 ; 对 开发 者 测试 结构 的 选择 性 独立 确认 ,功能 强度 分 析 , 开 发 者 搜索 的 脆弱 性 证 
据 。EAL2 也 通过 TOE 的 配置 表 和 安全 证 据 提供 保证 。 通 过 开发 者 测试 .脆弱 性 分 析 和 
基于 更 详细 的 TOE 规范 的 独立 性 测试 ,实现 在 EAL1l 基础 上 安全 保证 的 增强 。 

(3) 评估 保证 级 3(EAL3) 一 一 系统 地 测试 和 检查 。EAL3 可 使 一 个 尽职 尽责 的 开发 
者 在 设计 阶段 就 能 从 正确 的 安全 工程 中 获得 最 大 程度 的 保证 ,而 不 需要 对 现 有 的 合理 的 
开发 实践 做 大 规模 的 改变 ,适用 于 中 等 级 别 的 安全 系统 。 

EAL3 通过 功能 和 接口 规范 .指导 性 文档 和 TOE 高 层 设计 ,对 安全 功能 进行 分 析 。 
这 种 分 析 由 以 下 测试 支持 : TOE 安全 功能 独立 性 测试 ;开发 者 基于 功能 规范 进行 测试 得 
到 的 证 据 ; 对 开发 者 测试 结果 的 选择 性 独立 确认 ;功能 强度 分 析 ; 开 发 者 搜索 的 脆弱 性 证 
据 。EAL3 也 通过 开发 环境 控制 措施 .TOE 的 配置 管理 和 安全 证 据 提 供 保证 。 通 过 更 完 
备 的 安全 功能 测试 范围 ,以 及 要 求 提供 TOE 在 开发 过 程 中 不 被 算 改 的 可 信 机 制 或 程序 ， 
实现 在 EAL2 基础 上 安全 保证 的 增强 。 

(4) 评估 保证 级 4(EAL4) 一 一 系统 设计 、 测 试 和 复查 。EAL4 可 使 开发 者 从 正确 的 
安全 工程 中 获得 最 大 程度 的 保证 ,这 种 安全 工程 基于 良好 的 商业 开发 实践 ,这 种 实践 虽然 
很 严格 ,但 并 不 需要 大 量 专业 知识 ,技巧 和 其 他 资源 。 在 通常 情况 下 ,对 一 个 已 存在 的 系 
统 进 行 改造 时 ,EAL4 是 所 能 达到 的 最 高 安全 级 别 。 

EAL4 通过 功能 规范 和 完备 的 接口 规范 .指导 性 文档 .TOE 的 高 层 设 计 和 低层 设计 ， 
对 安全 功能 进行 分 析 ,提供 安全 保证 和 对 安全 行为 的 理解 。EAL4 也 可 以 通过 TOE 安全 
策略 的 非 形 式 化 模型 获得 保证 。 这 种 分 析 由 以 下 测试 支持 : TOE 安全 功能 的 独立 性 测 
试 ,开发 者 基于 功能 规范 和 高 层 设计 进行 测试 得 到 的 证 据 , 对 开发 者 测试 结果 的 选择 性 独 
立 确认 ,功能 强度 分 析 ,开发 者 搜索 脆弱 性 的 证 据 , 对 抵抗 低 等 攻击 潜能 的 穿 透 性 攻击 者 
的 能 力 进 行 论证 的 独立 性 脆弱 分 析 。EAL4 也 通过 开发 环境 控制 措施 .TOE 配置 管理 和 
安全 证 据 提供 保证 。 通 过 要 求 更 多 的 设计 描述 ;实现 的 子 集 ;以 及 提供 TOE 在 开发 或 交 
付 过 程 中 不 会 被 算 改 的 可 信 性 的 改进 机 制 或 程序 ,实现 在 EAL3 基础 上 安全 保证 的 
增强 。 

(5) 评估 保证 级 5(EAL5) 一 一 半 形 式 化 设计 和 测试 。EAL5 需要 应 用 适度 的 专业 工 
程 技 术 来 支持 。 

EAL5 通过 功能 规范 和 完备 的 接口 规范 、 指 导 性 文档 、TOE 的 高 层 和 低层 设计 以 及 
所 有 的 实现 ,对 安全 功能 进行 分 析 , 提 供 保证 和 对 安全 行为 的 理解 。EAL5 也 可 以 通过 
TOE 安全 策略 的 形式 化 模型 .功能 规范 和 高 层 设计 的 半 形 式 化 表示 额外 地 获得 保证 。 这 
种 分 析 由 以 下 测试 支持 : TOE 安全 功能 的 独立 性 测试 ,开发 者 基于 功能 规范 、 高 层 设计 
和 低层 设计 进行 测试 得 到 的 证 据 , 对 开发 者 测试 结果 的 选择 性 独立 确认 ,功能 强度 分 析 ， 
开发 者 搜索 脆弱 性 的 证 据 , 对 抵抗 中 等 攻击 潜能 的 穿 透 性 攻击 者 的 能 力 进 行 论证 的 独立 
性 脆弱 分 析 。 这 种 分 析 也 包括 对 开发 者 的 隐蔽 通道 分 析 的 确认 。EAL5 也 通过 开发 环境 
控制 措施 .全面 的 TOE 配置 管理 和 交付 程序 的 安全 证 据 提供 保证 。 通 过 要 求 半 形式 化 
的 设计 描述 ;整个 实现 ;更 结构 化 的 体系 ;隐蔽 信道 分 析 ; 以 及 提供 TOE 在 开发 过 程 中 不 
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会 被 自 改 的 可 信 性 的 改进 机 制 或 程序 ,实现 在 EAL4 基础 上 安全 保证 的 增强 。 

(6) 评估 保证 级 6(EAL6) 一 一 半 形 式 化 验证 的 设计 和 测试 。EAL6 可 使 开发 者 通过 
把 安全 工程 技术 应 用 于 严格 的 开发 环境 ,而 获得 高 度 的 安全 保证 。 它 适用 于 高 风险 环境 
下 的 安全 TOE 的 开发 ,这 里 受 保护 的 资源 值得 花费 很 大 的 额外 开销 。 

EAL6 通过 功能 规范 和 完备 的 接口 规范 、 指 导 性 文档 、TOE 的 高 层 和 低层 设计 以 及 
实现 的 结构 化 表示 ,对 安全 功能 进行 分 析 ,提供 保证 和 对 安全 行为 的 理解 。EAL6 也 可 以 
通过 TOE 安全 策略 的 形式 化 模型 .功能 规范 ,高 层 和 低层 设计 的 半 形 式 化 表示 ,以 及 它 
们 之 间 对 应 性 的 半 形 式 化 论证 ,模块 化 和 分 层 的 TOE 设计 ,额外 地 获得 保证 。 这 种 分 析 
由 以 下 测试 支持 : TOE 安全 功能 的 独立 性 测试 ,开发 者 基于 功能 规范 、 高 层 设 计 和 低层 
设计 进行 测试 得 到 的 证 据 , 对 开发 者 测试 结果 的 选择 性 独立 确认 ,功能 强度 分 析 , 开 发 者 
搜索 脆弱 性 的 证 据 , 对 抵抗 高 等 攻击 潜能 的 穿 透 性 攻击 者 的 能 力 进行 论证 的 独立 性 脆弱 
分 析 。 这 种 分 析 也 包括 对 开发 者 的 系统 化 隐蔽 通道 分 析 的 确认 。EAL6 也 通过 应 用 结构 
化 的 开发 流程 .开发 环境 控制 措施 包括 全 面 的 TOE 配置 管理 和 交付 程序 的 安全 证 据 提 
供 保证 。 通 过 要 求 更 全 面 的 分 析 ,实现 的 结构 化 表示 ,更 体系 化 的 结构 ,更 全 面 的 脆弱 性 
分 析 ,系统 化 隐蔽 信道 识别 ,以 及 改进 的 配置 管理 和 开发 环境 控制 等 ,实现 在 EAL5 基础 
上 安全 保证 的 增强 。 

(7) 评估 保证 级 7(EAL7) 一 一 形式 化 验证 的 设计 和 测试 。EAL7 适用 于 安全 TOE 
的 开发 ,该 TOE 应 用 在 风险 非常 高 的 场合 或 有 高 价值 资产 值得 保护 的 地 方 。 目 前 ， 
EAL7 的 实际 应 用 只 是 局 限于 一 些 安全 功能 能 够 经 受 起 形式 化 分 析 的 TOE。 

EAL7 通过 功能 规范 和 完备 的 接口 规范 、 指 导 性 文档 、TOE 的 高 层 和 低层 设计 以 及 
实现 的 结构 化 表示 ,对 安全 功能 进行 分 析 ,提供 保证 和 对 安全 行为 的 理解 。EAL7 也 可 以 
通过 TOE 安全 策略 的 形式 化 模型 .功能 规范 和 高 层 设 计 的 形式 化 表示 、 低 层 设计 的 半 形 
式 化 表示 ,以 及 它们 之 间 对 应 性 的 形式 化 和 半 形 式 化 论证 ,模块 化 和 分 层 的 且 简 单 的 
TOE 设计 ,额外 地 获得 保证 。 这 种 分 析 由 以 下 测试 支持 : TOE 安全 功能 的 独立 性 测试 ， 
开发 者 基于 功能 规范 .高层 设计 和 低层 设计 和 实现 进行 测试 得 到 的 证 据 , 对 开发 者 测试 结 
果 的 全 部 独立 确认 ,功能 强度 分 析 , 开 发 者 搜索 脆弱 性 的 证 据 , 对 抵抗 高 等 攻击 潜能 的 穿 
透 性 攻击 者 的 能 力 进行 论证 的 独立 性 脆弱 分 析 。 这 种 分 析 也 包括 对 开发 者 的 系统 化 隐蔽 
通道 分 析 的 确认 。EAL7 也 通过 应 用 结构 化 的 开发 流程 .开发 环境 控制 措施 包括 完全 自 
动 化 的 全 面 的 TOE 配置 管理 和 交付 程序 的 安全 证 据 提 供 保证 。 通 过 要 求 形 式 化 表示 、 
形式 化 分 析 以 及 更 全 面 的 测试 ,实现 在 EAL6 基础 上 安全 保证 的 增强 。 

5) PP 与 ST 评估 准则 

PP 与 ST 评估 准则 在 CC 中 是 要 首先 满足 的 ,因为 PP 或 ST 评估 是 在 TOE 评估 前 
进行 的 。PP 类 ,ST 类 与 TOE 类 不 同 , 因 为 PP 类 和 ST 类 的 所 有 要 求 都 要 考虑 单个 PP 
或 ST 的 评估 ,而 TOE 类 的 要 求 涉及 较 广 ,并 不 针对 一 个 特定 的 TOE。 

(1) PP 准则 : PP 评估 论证 PP 的 完备 性 一致 性 .技术 上 的 合理 性 ,因此 适合 作为 一 
个 或 多 个 可 评估 TOE 的 要 求 陈述 。 

。 与 ST 评估 准则 的 关系 : 通常 的 PP 和 具有 TOE 特性 的 ST 之 间 有 很 多 结构 和 内 

容 上 的 相似 之 处 ,所 以 PP 评估 准则 中 ,保护 的 要 求 与 ST 评估 准则 包含 的 要 求 之 


270 


Egg 第 9 章 操作 系统 安全 评测 em 


间 有 许多 相似 之 处 , 且 两 者 的 表示 方式 也 相似 。 
。 评估 者 任务 : 评估 者 实施 一 个 包含 在 CC 要 求 之 内 的 PP 评估 时 ,应 使 用 如 下 PP 
评估 类 APE 的 要 求 : TOE 描述 族 (APE_DES) ,安全 环境 族 (APE_ENV).、PP 引 
言 族 (APE_INT) .安全 目标 族 (APE_OBJ) IT 安全 要 求 族 (APE_REQ)。 评估 
者 实施 一 个 包含 CC 要 求 之 外 的 PP 评估 时 ,应 使 用 如 下 PP 评估 类 APE 的 要 求 : 
TOE 描述 族 (APE_DES) ,安全 环境 族 (APE_ENV)、PP 引言 族 (APE_INT) 、 安 
全 目标 族 (APE_OBJ) IT 安全 要 求 族 (APE_REQ) .明确 陈述 的 IT 安全 要 求 族 
(APE_SRE) 。 
(2) ST 准则 : ST 评估 是 为 了 论证 ST 是 完备 的 一 致 的 在 技术 上 是 合理 的 ,因此 适 
合作 为 相应 的 TOE 评估 的 基础 。 
。 与 CC 其 他 评估 准则 的 关系 : 评估 TOE 包括 ST 评估 和 相应 的 TOE 评估 。ST 
评估 包括 对 PP 声明 的 评估 。 如 果 ST 没有 声明 与 PP 的 一 致 性 ,ST 的 PP 声明 
将 包括 TOE 没有 声明 与 任何 PP 的 一 致 性 。 
。 评估 者 任务 : 评估 者 实施 一 个 包含 CC 要 求 之 内 的 ST 评估 时 ,应 使 用 如 下 ST 评 
估 类 ASE 的 要 求 : TOE 描述 族 (ASE_DES) .安全 环境 族 (ASE_ENV) SF 引言 
族 (ASE_INT) .安全 目标 族 (ASE_OBJ) .PP 声明 族 (ASE_PPC) IT 安全 要 求 族 
(ASE_REQ) .TOE 概要 规范 族 (ASE_TSS)。 评估 者 实施 一 个 包含 CC 要 求 之 外 
的 ST 评估 时 ,应 使 用 如 下 ST 评估 类 ASE 的 要 求 : TOE 描述 族 (ASE_DES) 、 安 
全 环境 族 (ASE_ENV) SF 引言 族 (ASE_INT) .安全 目标 族 (ASE_OBJ) .PP 声明 
族 (ASE_PPC) IT 安全 要 求 族 (ASE__REQ)、 明确 陈述 的 IT 安全 要 求 
(ASE_SRE) .TOE 概要 规范 族 (ASE_TSS) 。 
6) 保证 维护 
保证 维护 应 用 在 一 个 TOE 已 经 被 评估 和 认证 之 后 , 旨 在 当 TOE 或 其 环境 发 生变 化 
时 能 够 继续 满足 它 的 既定 安全 目标 。 这 些 变 化 包括 发 现 新 的 威胁 或 脆弱 性 、 用 户 需 求 的 
变化 .纠正 已 认证 的 TOE 中 的 错误 等 。 
实现 保证 维护 的 一 个 方法 是 再 次 评估 TOE, 即 对 新 版 本 的 TOE 进行 评估 ,包括 对 已 
认证 版 本 TOE 的 安全 相关 变化 以 及 那些 仍 有 效 的 评估 结果 进行 再 次 评估 。 然 而 ,在 很 
多 情况 下 ,再 次 评估 每 个 TOE 新 版 本 是 不 现实 的 。 因 此 ,保证 维护 类 的 主要 目的 是 , 定 
义 一 整套 要 求 提供 一 个 信任 度 , 使 TOE 中 建立 的 保证 得 到 维护 ,并 不 需要 再 次 进行 评 
估 。 保 证 维护 类 并 没有 完全 去 除 再 次 评估 的 要 求 ,在 必要 时 支持 对 TOE 的 再 次 评估 。 
为 了 保证 在 TOE 中 得 到 维护 ,保证 维护 类 要 求 开 发 者 提供 证 据说 明 TOE 仍然 满足 
它 的 安全 目标 。 
935 中 国 推荐 标准 CBT 18336 一 2001 
中 国 推荐 标准 GB/T 18336 一 2001《 信 息 技术 ”安全 技术 信息 技术 安全 性 评估 准 
则 》 是 由 中 国 国 家 质量 技术 监督 局 2001 年 发 布 的 信息 技术 安全 性 评估 准则 , 它 几 乎 等 同 
采用 了 国际 CC 标准 。 其 共 分 为 三 部 分 :《 第 一 部 分 : 简介 和 一 般 模型 》《 第 二 部 分 : 安 
全 功能 要 求 》 和 《第 三 部 分 : 安全 保证 要 求 》。 
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“94 本章 小 结 


漏洞 扫描 和 安全 性 评测 是 评估 计算 机 安全 操作 系统 安全 性 的 两 个 主要 手段 ,但 是 两 
者 在 作用 机 理 和 应 用 效果 上 是 不 同 的 ,后 者 是 与 安全 操作 系统 的 安全 功能 及 其 设计 过 程 
密切 相关 的 ,是 安全 操作 系统 安全 性 保障 手段 的 高 级 形式 ,也 是 当前 使 用 的 主要 手段 。 

一 个 操作 系统 是 安全 的 ,是 指 它 满足 某 一 给 定 的 安全 策略 。 一 个 操作 系统 的 安全 性 
是 与 设计 密切 相关 的 ,只 有 有 效 保 证 从 设计 者 到 用 户 都 相信 设计 准确 地 表达 了 模型 ,而 代 
码 准确 地 表达 了 设计 时 ,该 操作 系统 才 可 以 说 是 安全 的 ,这 也 是 安全 操作 系统 评测 的 主要 
内 容 。 评 测 操作 系统 安全 性 的 方法 主要 有 三 种 : 形式 化 验证 , 非 形 式 化 确认 及 人 侵 分 析 。 
这 些 方法 各 自 可 以 独立 使 用 ,也 可 以 将 它们 综合 起 来 评估 操作 系统 的 安全 性 。 

为 了 对 现 有 计算 机 系统 的 安全 性 进行 统一 的 评价 ,为 计算 机 系统 制造 商 提供 一 个 有 
权威 的 系统 安全 性 标准 ,需要 有 一 个 计算 机 系统 安全 评测 准则 。 美 国 国防 部 于 1983 年 推 
出 的 历史 上 第 一 个 计算 机 安全 评价 标准 TCSEC 带动 了 国际 上 计算 机 安全 评测 标准 的 研 
究 , 德 国 、 英 国 、 加 拿 大 、 西 欧 四 国都 纷纷 制定 了 各 自 的 计算 机 系统 评价 标准 。 特 别 是 近年 
来 国际 通用 准则 CC 的 制定 和 逐步 得 到 国际 认可 ,将 带 来 国际 上 计算 机 信息 系统 安全 评 
测 标准 的 统一 。 近 年 来 ,我 国 也 参照 国外 成 熟 和 先进 的 评测 标准 制定 了 我 国 强 制 性 国家 
标准 GB 17859 一 1999 和 推荐 标准 GB/T 18336 一 2001 ,它们 都 对 我 国 操作 系统 安全 的 发 
展 起 到 了 积极 的 促进 作用 。 


5 习题 


. 操作 系统 安全 评估 与 操作 系统 安全 评测 的 区 别 是 什么 ? 

. 请 简 述 操作 系统 安全 的 评测 方法 。 

. 美国 国防 部 可 信 计 算 机 系统 评测 准则 主要 内 容 是 什么 ? 

中 国 GB 17859 一 1999 划分 为 哪 几 级 ? 请 比较 各 级 之 间 的 主要 差别 。 

. 请 对 比 中 国 GB 17859 一 1999 的 第 四 级 要 求 与 美国 TCSEC 的 B2 级 的 异同 处 。 
通用 安全 准则 CC 主要 分 为 哪 几 个 部 分 ? 并 简要 描述 。 

. 国际 通用 准则 CC 比美 国 国防 部 可 信 计 算 机 系统 评测 准则 主要 做 了 什么 改进 ? 
.可否 用 CC 标准 的 保护 轮廓 定义 书 来 对 应 编写 美国 TCSEC 相应 评价 级 的 安全 
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第 10 羡 
”安全 操作 系统 的 网 络 扩展 


如 果 从 现在 的 信息 系统 结构 来 看 ,计算 机 间 的 高 度 互 连 是 一 个 基本 要 求 。 这 种 互 连 
是 通过 一 定 的 网 络 硬件 和 软件 共同 实现 的 ,从 现在 的 技术 发 展 状况 来 看 ,网 络 互联 已 成 为 
一 个 标准 功能 被 集成 到 操作 系统 中 ,所 以 安全 操作 系统 中 也 必须 包括 网 络 连接 功能 ,相应 
地 对 安全 操作 系统 也 就 提出 了 与 网 络 连 接 有 关 的 安全 需求 。 前 几 童 主要 讨论 了 操作 系统 
本 身 的 安全 问题 ,这 章 侧 重 探讨 安全 操作 系统 在 网 络 互联 中 的 一 些 基本 安全 需求 和 安全 
网 络 技术 ,这 其 中 网 络 安全 技术 是 解决 问题 的 关键 。 所 以 这 章 比 较 详 细 地 讨论 了 网 络 安 
全 技术 的 各 个 方面 。 

信息 传输 系统 (如 通信 和 网络) 作为 信息 系统 的 一 个 重要 组 成 部 分 ,在 构建 整个 信息 
系统 安全 的 过 程 中 ,其 地 位 和 作用 是 不 容 忽视 的 。 信 息 传输 系统 的 安全 性 是 一 个 错 综 
复杂 的 问题 ,涉及 面 非常 广 , 可 能 包括 网 络 应 用 软件 的 安全 性 、 网 络 子 系统 ( 指 操作 系 
统 内 部 的 网 络 协议 栈 ) 的 安全 性 、 信 息 传输 物理 设备 的 安全 性 等 。 例 如 ,车 希望 从 地 点 
A 通过 网 络 安 全 地 登录 到 地 点 B, 就 需要 信任 自己 使 用 的 远程 登录 软件 ,信任 网 络 子 系 
统 能 够 将 用 户 的 用 户 名 和 密码 安全 地 交 给 网 络 信息 传输 设备 ,信任 信息 在 线路 中 传输 
时 没有 被 泄露 和 自 改 。 同 样 地 ,地 点 也 的 计算 机 系统 也 要 通过 适当 的 方式 获得 对 此 次 
连接 安全 性 的 充分 信任 。 总 之 ,在 信息 传输 系统 中 ,安全 的 获得 必须 是 多 方面 综合 协 
调 作用 的 结果 。 

在 本 章 中 ,所 讨论 的 重点 将 放 在 与 网 络 子 系统 的 安全 性 相关 的 问题 上 ,试图 将 读者 的 
视野 从 操作 系统 的 单机 安全 性 扩展 到 网 络 环境 中 。 因 此 本 章 的 论述 经 常 是 以 将 网 络 子 系 
统 与 单机 操作 系统 环境 进行 对 比 的 方式 展开 的 。 这 样 不 仅 希 望 本 章 能 够 从 概念 上 给 读者 
一 个 清晰 完整 的 安全 网 络 系统 的 轮廓 ,也 希望 能 够 对 致力 于 安全 网 络 系统 开发 与 研究 的 
人 员 提 供 一 定 的 实际 指导 价值 。 


10.1 网 络 体系 结构 


了 解 和 掌握 计算 机 的 网 络 体系 结构 是 构建 安全 网 络 的 前 提 。 只 有 充分 地 研究 当前 网 
络 系统 的 基础 体系 ,才能 够 针对 不 同 的 漏洞 或 弱点 实现 不 同 的 安全 增强 机 制 。 

为 了 使 用 户 能 够 交换 信息 和 共享 资源 ,许多 台 计 算 机 被 连接 在 了 一 起 ,从 而 组 成 
了 计算 机 网 络 。 但 是 用 于 实现 不 同系 统 中 实体 之 间 通 信 的 过 程 是 相当 复杂 的 ,所 以 
为 了 简化 网 络 的 设计 ,人 们 一 般 采 用 结构 化 的 设计 方法 。 该 方法 将 网 络 按照 功能 分 
成 一 系列 的 层次 ,每 一 层 完 成 一 个 特定 的 功能 , 相 邻 层 中 的 较 高 层 直接 使 用 较 低 层 
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的 服务 实现 本 层次 的 功能 ,同时 又 向 它 的 上 一 层 提供 服务 ,这 就 是 人 们 常 说 的 网 络 
的 层次 结构 。 每 一 层 中 的 活动 元 素 称 为 实体 , 相 邻 实体 间 的 通信 是 通过 它们 的 边界 
进行 的 ,该 边界 称 为 相 邻 层 间 的 接口 。 在 接口 处 规定 了 下 层 向 上 层 提 供 的 服务 ,以 
及 上 下 层 实 体 请 求 服务 所 使 用 的 服务 原 语 , 相 邻 实体 通过 发 送 或 接收 服务 原 语 进行 
交互 。 位 于 不 同系 统 上 同一 层 中 的 实体 称 为 对 等 实体 ,不 同系 统 间 通信 实际 上 是 各 
对 等 实体 间 在 通信 。 在 某 一 层 上 进行 通信 所 使 用 的 规则 的 集合 称 为 该 层 的 协议 ,各 
层 协议 按 层次 顺序 排列 而 成 的 协议 序列 称 为 协议 栈 。 其 实 , 每 层 实体 只 eye 
统 中 上 下 相 邻 的 实体 进行 直接 通信 ,不 同系 统 中 的 对 等 实体 是 没有 直接 通信 外 

的 ,它们 之 间 的 通信 必须 通过 其 下 各 层 的 通信 间接 完成 。 图 10-1 et 
慨 次 模型 示意 图 。 


系统 A 系统 B 


MN+1 层 接口 处 


物理 媒体 1 


图 10-1 网 络 的 层次 模型 


常 将 网 络 的 层次 结构 .协议 栈 和 相 邻 层 间 的 接口 以 及 服务 统称 为 网 络 体系 
二 

目前 最 主要 和 流行 的 网 络 参考 模型 是 OSI 参考 模型 和 TCP/IP 参考 模型 。 开 放 系统 
互联 (Open System Interconnection ,OSI) 参 考 模型 是 ISO 为 解决 异种 机 互 连 而 制定 的 开 
放 式 计算 机 层次 结构 模型 。OSI 参考 模型 只 是 规定 了 网 络 的 层次 划分 ,以 及 每 一 层 上 实 
现 的 功能 ,但 它 没 有 规定 每 一 层 上 所 实现 的 服务 和 协议 ,因此 非常 具有 普 适 性 ,适合 描述 
各 种 网 络 。OSI 参考 模型 分 为 七 层 , 由 低 到 高 依次 为 物理 层 . 数 据 链 路 层 ` 网 络 层 、 会 话 
层 、 表 示 层 和 应 用 层 , 参 见 图 10-2。 

TCP/IP 参考 模型 没有 明确 区 分 服务 、 接 口 和 协议 的 概念 ,并 且 它 是 专门 用 来 描述 
TCP/IP 协议 栈 的 , 它 包含 四 个 层次 : 应 用 层 、 传 输 层 、 网 络 互联 层 和 网 络 接口 层 ,参见 
图 10-3。 

关于 这 两 个 模型 中 各 层 的 具体 功能 ,请 参考 其 他 计算 机 网 络 书 籍 ,这 里 只 做 概念 性 介 
绍 。 尽 管 TCP/IP 模型 在 工业 上 得 到 了 广泛 的 应 用 ,但 人 们 讨论 网 络 时 ,还 是 常常 参考 
OSI 模型 ,因为 它 更 具 一 般 性 。 
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让 


层 ”开放 系统 A _ 开放 系统 B 
第 七 属 | 总 有 区 | | ”应 用 县 
. | 表示 层 协议 
第 六 层 | 表示 层 “| -一 全 一 | ”表示 县 
| 会 话 层 协议 
第 五 层 | 会话 屋 “|-------- 一 -一 -------- 
层 协议 
第 固 层 | 传 编 展 ”|= | 
i 网 边界 
网 协议 
了 网 
第 三 层 | 网络 层 各 | 络 | -| 网络 层 
i [ 层 | 1 
数 
| | 据 
第 二 层 | 数据 链 路 层 |- 一 二 | 链 -| 链 | 一 一 | 数据 链 路 层 
i 路 而 
是 物 了 
第 一 层 | 。 物理 层 理 -~| 理 物理 层 | 传输 层 
到 
网 络 互联 层 
据 链 路 层 主 机 - 协议 要 
物理 层 主机 -路 由 器 协议 网 络 接口 导 
图 10-2 ”OSI 参考 模型 图 10-3 TCP/IP 参考 模型 


102 ”网 络 安 全 威胁 和 安全 服务 


所 谓 安全 威胁 是 指 某 个 人 、 物 、 事 件 或 概念 对 某 一 资源 的 机 密 性 、 完 整 性 、 可 用 性 或 合 
法 使 用 所 造成 的 危害 。 从 计算 机 信息 系统 的 广度 来 讲 ,主要 面临 如 下 四 个 基本 的 安全 
威胁 。 

(1) 信息 泄露 : 信息 被 泄露 或 透露 给 某 个 未 授权 的 实体 。 

(2) 完整 性 破坏 : 数据 的 一 致 性 通过 未 授权 的 创建 ,修改 或 破坏 而 受到 损坏 。 

(3) 拒绝 服务 : 对 信息 或 其 他 资源 的 合法 访问 被 无 条 件 地 阻止 。 

(4) 非法 使 用 : 某 一 资源 被 某 个 未 授权 的 人 或 以 某 一 种 未 授权 的 方式 使 用 。 
网 络 系统 的 概念 涵盖 了 与 计算 机 系统 互 连 相 关 的 软 硬 件 等 一 切 设施 。 将 所 有 通过 网 
络 系统 实施 的 ,或 针对 网 络 系统 本 身 的 安全 威胁 称 为 网 络 安全 威胁 。 网 络 安全 威胁 包含 
的 范围 很 广 , 因 为 许多 针对 计算 机 系统 内 部 的 安全 威胁 也 越 来 越 多 地 是 通过 网 络 系统 发 
起 的 ,人 们 一 说 到 安全 威胁 ,大 多 指 的 就 是 网 络 安全 威胁 。 网 络 安全 威胁 可 以 从 如 下 角度 
划分 成 三 大 类 。 

@ 针对 数据 传输 的 威胁 : 会 导致 了 基本 威胁 (1) 和 (2) ,例如 ,数据 信息 的 窃听 数据 
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信息 的 算 改 ,数据 传输 的 抵赖 、 中 间 人 攻击 等 。 

@ 针对 网 络 协议 栈 本 身 设计 漏洞 的 威胁 : 会 导致 基本 威胁 (3) ,例如 ,地 址 欺骗 攻 
击 、Ping 攻击 .SYN 攻击 等 。 

@ 以 网 络 系统 为 通道 的 计算 机 系统 内 部 威胁 : 不 破坏 网 络 系统 ,仅仅 是 借助 网 络 系 
统 来 对 计算 机 内 部 系统 进行 非法 的 数据 获取 或 修改 ,会 导致 基本 威胁 (1)、(2) 和 (4), 例 
如 , 旁 路 控制 .特洛伊 木马 、 授 权 侵 犯 等 。 

面 对 如 此 众多 的 网 络 安全 威胁 ,任何 信息 系统 都 需要 采取 必要 的 安全 防护 措施 ,甚至 

该 包括 必要 的 安全 检测 和 相应 措施 ,把 这 些 主要 的 网 络 安全 措施 称 作 网 络 安全 服务 。 
ee 

。 认证 服务 : 提供 某 个 实体 (人 或 系统 ) 的 身份 保证 。 

。 访问 控制 服务 : 保护 资源 以 免 对 其 进行 非法 使 用 和 操作 。 

。 数据 机 密 性 服务 : 保护 信息 不 被 泄露 或 暴露 给 未 授权 的 实体 。 

。 数据 完整 性 服务 : 保护 数据 以 防止 未 授权 的 改变 、 删 除 或 替代 。 

。 非 否 认 服 务 : orn st 经 发 生 过 。 

。 网 络 安全 检测 服务 : 对 系统 的 运行 状态 进行 监视 ,发 现 各 种 攻击 企图 、 攻 击 行为 

或 者 攻击 结果 。 
。 审计 服务 : 对 系统 记录 和 过 程 的 检查 和 审查 ,协助 攻击 的 分 析 , 收 集 证 据 以 用 于 
起 诉 攻击 者 。 

。 攻击 监控 和 报警 响应 服务 : 对 攻击 事件 的 监视 与 控制 ,提供 对 攻击 事件 的 报警 与 

响应 。 

各 种 安全 服务 是 有 一 定 的 针对 性 的 ,例如 ,认证 服务 用 来 防止 假冒 攻击 ,数据 机 密 性 
服务 用 来 防止 数据 信息 泄露 。 同 时 各 种 安全 服务 之 间 存 在 着 协同 关系 ,单独 一 种 安全 服 
务 并 不 一 定 能 够 防止 某 些 安全 威胁 的 发 生 ,例如 ,访问 控制 服务 需要 认证 服务 的 配合 ,有 
时 也 需要 数据 机 密 性 和 完整 性 服务 的 支持 。 即 使 在 安全 防护 服务 未 能 阻止 对 系统 的 入 侵 
攻击 时 ,还 有 安全 检测 、 审 计 和 报警 服务 来 进行 后 续 处 理 。 因 此 对 系统 提供 全 面 安 全 保 
护 , 防 止 形 形 色 色 且 不 断 增长 的 安全 威胁 的 发 生 ,是 系统 中 多 种 安全 服务 综合 作用 的 
结果 。 

网 络 体系 结构 的 分 层 特性 使 得 安全 服务 的 配置 较为 复杂 。 协 议 分 层 导 致 了 数据 项 髓 
在 数据 项 中 ,连接 之 中 有 连接 ,潜在 地 形成 多 重 层 相 套 。 严 格 地 说 ,协议 栈 中 的 每 一 层 和 
它 的 对 等 协议 层 构成 了 一 个 相对 独立 的 信息 子 系统 ,每 个 信息 子 系统 都 有 自己 的 主体 和 
客体 ,应 该 通过 提供 某 些 安全 服务 实现 自身 的 安全 性 。 但 是 如 果 在 每 一 层 都 提供 相同 的 
安全 服务 ,就 会 造成 功能 的 重复 与 浪费 。 一 个 合理 的 思路 是 ,按照 不 同 的 安全 需求 ,在 不 
同 的 协议 层 中 设置 相应 的 安全 服务 ,使 各 层 之 间 的 安全 服务 能 够 协同 工作 ,从 而 达到 网 络 
系统 的 整体 安全 性 。 

基于 实际 网 络 中 的 安全 实现 ,一 般 可 以 将 OSI 的 七 层 模型 划分 成 更 加 简单 和 更 加 实 
用 的 四 个 基本 的 安全 结构 级 ,它们 是 应 用 级 、 端 系统 级 、 子 网 络 级 和 直接 链 路 级 。 图 10-4 
显示 了 四 个 等 级 如 何 映 射 到 OSI 参考 模型 上 。 

实施 网 络 安全 服务 的 机 制 称 为 网 络 安全 机 制 。 网 络 安全 机 制 种 类 很 多 ,例如 ,加 密 、 
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OSI 层 

[ | 应 用 级 | “| 应 用 层 
"| 表示 层 

各 记 系 师 级 会 话 层 
传输 层 


子 网 络 级 站 网 络 层 
| ] 鱼 呈 级 | 镑 站 屋 
物理 层 


图 10-4 四 个 基本 的 安全 结构 层 


数字 签名 .访问 控制 .数据 完整 性 .认证 交换 ,业务 流 填 充 . 路 由 控制 .公证 等 。 一 种 安全 服 
务 有 时 要 用 到 多 种 安全 机 制 ,一 种 安全 机 制 也 可 能 在 多 个 安全 服务 的 实现 中 被 使 用 。 这 
些 安全 机 制 中 ,有 两 种 被 使 用 的 安全 技术 最 为 关键 。 一 种 是 密码 技术 , 它 是 实现 所 有 安全 
服务 的 重要 基础 ,关于 这 方面 的 知识 ,请 参考 相关 的 密码 学 书籍 ;一 种 是 访问 控制 技术 , 它 
是 维护 系统 内 部 合法 操作 行为 的 基础 ,也 是 后 面 将 着 重 介绍 的 。 


103 分 布 式 安全 网 络 系统 


从 抽象 的 角度 来 讲 , 安 全 网 络 系统 其 实 是 一 组 通信 机 制 ,该 通信 机 制 能 够 在 给 定 的 协 
议 层 上 为 它 的 主体 提供 某 种 可 信 的 服务 类 型 ,参见 图 10-5 。 


无 保护 逻辑 路 径 
主体 A( 协 议 层 N) | 一 一 一 b ~ 主体 B( 协 议 屋 V) 
Ml 全 0 ri 恒 
8 mn 
六 逻辑 路 径 
kN 2 Wi 
协议 层 N-2 协议 层 N-2 
: 护 逻 辑 路 径 | 
协议 层 N-3 协议 层 N-3 
协议 层 2 护 远 辑 路 径 。 | _ 协议 层 2 
被 保护 物理 路 径 。 | 
协议 协议 层 1 
系统 I t 系统 


安全 周 界 
图 10-5 安全 网 络 的 主体 形式 


使 用 安全 网 络 的 通信 实体 都 可 以 称 为 它 的 主体 。 安 全 网 络 并 不 关心 这 些 “ 主 体 与 主 
体 ” 间 的 通信 协议 。 安 全 网 络 的 内 部 (主体 调用 的 接口 以 下 的 部 分 ) 对 主体 来 说 是 不 可 见 
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的 ,这 种 隐蔽 内 部 功能 和 协议 的 方法 在 概念 上 是 和 协议 模型 的 分 层 概念 一 致 的 。 安 全 网 
络 支持 什么 类 型 的 主体 (如 进程 主机、 用 户 ) ,依赖 于 选 定 调用 安全 网 络 的 层 所 支持 的 实 
体 ,以 及 安全 网 络 打算 实施 的 网 络 安 全 策略 。 

从 安全 网 络 的 定义 来 看 ,安全 网 络 系统 是 具有 相对 性 的 , 它 是 相对 于 某 一 特定 协议 层 
的 主体 来 说 的 。 例 如 ,针对 协议 层 N 的 主体 ,安全 网 络 在 协议 层 N 一 1 层 之 上 提供 了 一 
个 接口 ;如 果 在 同一 个 系统 中 ,以 协议 层 N 一 2 层 的 实体 为 主体 ,从 这 个 角度 来 看 ,那么 安 
全 网 络 会 在 N 一 3 层 之 上 提供 一 个 接口 ,此 时 , N 一 2 层 之 上 的 网 络 协 议 层 的 状况 ,对 
N 一 2 层 来 说 根本 不 需要 关心 了 。 另 一 方面 ,下 层 协 议 的 安全 保护 是 上 层 实 现 安全 网 络 
系统 的 有 利 支撑 ,如 果 系 统 不 能 为 N 一 2 层 提供 一 个 安全 网 络 系统 ,那么 N 一 1 层 除 非 自 
身 提供 安全 机 制 , 否 则 不 能 实现 针对 它 的 安全 网 络 系统 。 

安全 操作 系统 内 部 都 有 一 条 分 割 可 信和 与 非 可 信 部 分 的 界限 ,叫做 安全 周 界 。 同 理 ,也 
必须 绘制 一 条 网 络 安全 周 界 , 它 包围 着 构成 安全 网 络 系统 的 最 高 级 协议 范围 内 的 一 切 东 
西 。 网 络 安全 周 界 是 分 隔 网 络 系统 中 可 信和 与 非 可 信 部 分 的 边界 ,网 络 安全 周 界 包围 的 部 
分 其 实 就 是 网 络 可 信 计 算 基 (NTCB)。 按 照 TNI 的 定义 ,NTCB 是 网 络 系统 内 部 负责 实 
施 某 一 安全 策略 的 所 有 保护 机 制 的 总 和 ,包括 各 种 硬件 、 固 件 和 软件 。 

从 理想 的 情况 来 看 ,为 了 使 一 对 地 理 上 相互 分 离 的 系统 的 安全 周 界 保持 完整 ( 见 
图 10-5) ,系统 之 间 必 须 有 一 条 可 信 的 路 径 。 这 条 路 径 类 似 于 用 户 和 安全 内 核 之 间 的 可 
信 路 径 , 只 不 过 它 是 用 来 保护 两 个 计算 机 系统 之 间 通 信 的 完整 性 。 在 系统 之 间 提 供 一 条 
可 信 路 径 ,意味 着 确保 系统 之 间 的 通信 是 物理 安全 的 ,所 有 设备 和 支持 通信 的 其 他 系统 是 
安全 的 和 可 信 的 。 从 而 可 信 路 径 能 够 保证 在 安全 周 界 之 内 ,各 个 NTCB 像 一 个 单独 实体 
一 样 协调 工作 ,即使 该 实体 在 物理 上 是 分 布 的 。 通 过 保护 最 低层 (物理 层 ) 上 的 路 径 , 使 得 
安全 网 络 范围 内 任何 指定 层 上 对 等 实体 之 间 的 通信 也 得 到 了 保护 ,虽然 这 种 保护 是 逻辑 
卡 的 。 

安全 网 络 系统 的 这 一 理想 化 形状 其 实 并 不 能 代表 它 实 际 的 实现 方法 ,没有 能 力 和 条 
件 将 安全 周 界 内 某 一 层 之 下 全 部 进行 物理 保护 。 例 如 ,对 于 长 途 通信 ,从 传输 层 到 数据 链 
路 层 上 的 软件 ,可 以 在 一 个 单独 的 计算 机 系统 的 安全 周 界 内 被 保护 ,但 系统 之 间 的 公共 电 
话 线 是 不 被 保护 的 。 在 分 组 交换 网 中 ,主机 系统 之 间 的 分 组 交换 机 也 是 不 受 保护 的 。 当 
不 能 为 两 端 系 统 提 供 物理 保护 时 ,必须 通过 加 密 以 逻辑 保护 代替 物理 保护 。 如 图 10-5 所 
示 , 加 密 为 第 3 层 以 及 上 层 提供 了 人 逻辑 的 可 信和 路 径 , 该 路 径 其 实 是 物理 保护 路 径 的 等 价 
物 ,用 以 弥补 在 第 2 层 和 第 1 层 上 缺乏 的 物理 保护 。 在 这 种 情况 下 ,第 1 层 和 第 2 层 中 的 
部 分 软 硬 件 就 是 不 可 信 的 ,它们 被 排除 在 安全 周 界 以 外 。 加 密 之 所 以 能 够 代替 物理 层 保 
护 ,是 因为 它 能 够 通过 提供 数据 机 密 性 、 数 据 完整 性 、 认 证 、 非 否认 等 安全 服务 的 方式 ,来 
构建 一 条 可 信 的 逻辑 路 径 。 虽 然 安全 网 络 系统 必须 准确 地 规定 它 的 最 高 安全 协议 层 ( 安 
全 周 界 上 限 ) ,但 加 密 保 护 在 协议 栈 中 的 位 置 是 更 具 实际 情况 来 灵活 设置 的 。 例 如 在 局 域 
网 中 ,系统 被 物理 地 保护 ,而 系统 间 的 线路 则 不 是 ,加 密 可 以 在 数据 链 路 层 上 使 用 ,在 接 
单元 内 实现 。 如 果 主 机 系统 之 间 的 通信 要 经 过 不 可 信 的 分 组 交换 机 ,加 密 必 须 被 用 于 保 
证 远程 系统 路 径 安全 的 网 络 层 或 传输 层 上 。 在 机 房 内 ,通过 被 保护 物理 线路 连接 的 相 邻 
的 机 器 不 必 加 密 。 加 密 的 另 一 个 优点 是 能 够 减少 对 可 信和 网 络 机 制 的 某 些 部 分 的 要 求 。 例 
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如 ,如 果 在 网 络 层 上 使 用 加 密 , 就 可 以 不 必 相 信和 数据 链 路 层 的 软件 和 硬件 。 但 是 在 现实 
中 ,一 点 不 信任 底层 协议 是 困难 的 ,可 以 不 信任 底层 协议 能 够 收 到 可 靠 的 数据 ,但 还 是 需 
要 信任 底层 协议 其 他 某 些 协议 操作 。 

当 若 干 个 如 图 10-5 所 示 的 安全 网 络 系统 连接 在 一 起 时 ,就 形成 了 一 个 分 布 式 安全 网 
络 系统 。 每 个 系统 拥有 自己 的 网 络 安全 策略 ,提供 可 信和 网 络 服务 的 一 部 分 。 各 个 系统 的 
可 信 部 分 通过 可 信 路 径 相 互 作用 ,而 非 可 信 部 分 在 各 个 系统 内 部 按照 公共 的 安全 策略 进 
行 管理 。 


1031 网 络 安全 策略 


每 个 安全 操作 系统 都 有 自己 的 系统 安全 策略 , 它 是 保护 系统 安全 运行 的 一 组 规则 。 
同样 ,安全 网 络 系 统 也 有 自己 的 网 络 安全 策略 ,用 于 保证 网 络 系统 按照 一 组 制定 的 规则 安 
全 运行 。 系 统 安 全 策略 中 最 主要 的 就 是 系统 的 访问 控制 策略 。 网 络 安全 策略 除了 网 络 数 
据 传 输 保护 策略 外 ,网 络 访问 控制 策略 是 一 个 经 常 容易 被 忽视 而 又 非常 重要 的 组 成 部 分 。 
网 络 数据 传输 保护 策略 用 来 保证 网 络 数据 能 够 可 靠 地 从 一 端 传 向 另 一 端 , 它 的 最 终 实 现 
形式 就 是 在 两 端 之 间 建 立 了 一 条 可 信 路 径 , 它 所 依赖 的 主要 是 密码 技术 。 密 码 技术 在 构 
建 网 络 安全 中 的 突出 作用 使 得 人 们 渐渐 产生 了 一 个 误区 。 人 们 一 谈 到 网 络 安全 ,就 是 加 
密 , 好 像 加 密 可 以 解决 任何 网 络 安全 问题 。 其 结果 如 何 呢 ? 虽然 保护 了 正常 信息 的 安全 
传输 ,但 同时 使 得 一 些 有 害 的 信息 (如 恶意 代码 ) 在 被 保护 的 路 径 下 安安 全 全 地 侵害 机 器， 
也 使 得 一 些 不 法 用 户 通 过 保护 路 径 大 摇 大 摆 地 非法 窃取 和 破坏 计算 机 系统 内 部 的 敏感 数 
据 。 这 一 切 都 是 因为 忽视 网 络 访问 控制 策略 的 结果 。 所 以 有 必要 再 次 论述 访问 控制 策略 
在 防止 安全 威胁 时 到 底 起 到 了 怎样 的 作用 。 

可 以 概括 地 将 安全 威胁 分 为 针对 技术 上 的 和 针对 管理 上 的 。 针 对 技术 上 的 是 指 , 安 
全 威胁 是 利用 了 系统 本 身 设计 上 固有 的 漏洞 和 弱点 发 起 的 。 除 非 系 统 设 计 者 对 设计 本 身 
进行 改进 ,否则 这 种 安全 威胁 是 很 难 消除 的 。 针 对 管理 上 的 是 指 ,安全 威胁 是 利用 了 系统 
对 系统 操作 和 数据 信息 上 的 管理 不 足 发 起 的 。 

要 想 真 正 获 得 系统 安全 ,一 个 很 重要 的 任务 就 是 认真 区 分 系统 的 主体 、 客 体 和 主体 对 
客体 的 操作 ,建立 有 效 的 主体 对 客体 的 访问 控制 机 制 。 这 种 做 法 在 原来 的 单机 的 操作 系 
统 环 境 中 得 到 了 很 好 的 应 用 。 但 在 网 络 环境 下 的 不 同 之 处 在 于 ,网 络 子 系统 作为 操作 系 
统 对 外 信息 交互 的 一 个 窗口 ,需要 代表 整个 操作 系统 执行 对 信息 流入 与 流出 的 访问 控制 。 
因此 网 络 子 系统 也 必须 建立 作用 于 网 络 主体 对 网 络 客体 操作 之 上 的 访问 控制 策略 。 


1032 安全 网 络 系统 主体 .客体 和 访问 控制 


可 以 把 图 10-5 中 的 结构 和 安全 操作 系统 的 结构 进行 比较 。 安 全 网 络 支持 的 主体 对 
服务 接口 的 调用 与 安全 操作 系统 内 部 代表 主体 的 进程 对 系统 调用 的 调用 颇 为 相似 。 与 安 
全 操作 系统 一 样 ,安全 网 络 系统 按照 网 络 安全 策略 对 网 络 系统 内 部 的 资源 进行 管理 ,控制 
网 络 主体 对 各 种 资源 的 访问 。 

其 实 由 安全 网 络 执行 的 访问 控制 策略 的 最 终 目 的 ,是 决定 哪 一 对 网 络 层 主体 能 够 安 
全 通信 。 安 全 网 络 可 以 实施 一 种 直接 控制 主体 到 主体 存 取 的 访问 控制 策略 。 然 而 为 方便 
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起 见 , 可 把 为 两 个 主体 交换 信息 的 媒介 当 作 网 络 客体 。 与 操作 系统 内 部 客体 不 同 的 是 ,网 
络 客体 并 不 一 定 是 一 种 能 够 存储 永久 信息 的 实体 。 网 络 客体 其 实 与 文件 的 角色 很 类 似 ， 
文件 可 以 为 进程 间 通 信服 务 : 一 个 进程 写 文件 , 另 一 个 进程 读 文 件 。 当 将 网 络 访问 控制 
策略 以 网 络 主体 对 客体 进行 访问 的 形式 描述 时 ,就 和 安全 操作 系统 的 访问 控制 策略 很 相 
像 了 5 

安全 网 络 系统 支持 的 主体 和 客体 的 类 型 取决 于 网 络 中 安全 得 以 实现 的 层 。 在 不 同 的 
协议 层 上 ,网 络 主体 有 不 同 的 类 型 ,网 络 主体 可 以 是 用 户 、 进 程 、 结 点 、 网 络 等 。 同 样 网 络 
客体 在 不 同 的 协议 层 也 有 不 同 的 类 型 。 网 络 客体 包括 有 数据 包 、 数 据 帧 、 报 文 . 虚 电 路 、 连 
接 和 文件 等 。 网 络 客体 有 广泛 多 变 的 特点 。 有 些 客体 存在 的 时 间 很 短 ( 例 如 报 文 ), 只 在 
被 一 个 主体 传送 和 被 另 一 个 主体 接收 的 这 段 时 间 内 存在 。 有 些 客体 ,例如 物理 链 路 ,是 永 
久 存 在 的 。 虚 电路 的 存在 时 间 可 以 从 几 秒 到 几 天 不 等 。 数 据 包 、 报 文 每 次 仅 由 一 个 主体 
访问 , 虚 电 路 以 及 一 些 物理 链 路 可 同时 被 一 对 主体 访问 ,一 条 LAN 总 线 可 由 大 量 的 主体 
访问 。 

如 果 可 信 网 络 服务 在 应 用 层 工作 ,那么 网 络 主体 就 是 进程 ,网 络 客体 是 套 接 字 。 此 
时 ,网 络 访问 控制 策略 与 系统 访问 控制 策略 在 实质 上 是 一 致 的 ,因为 作为 网 络 主客 体 的 进 
程 和 套 接 字 也 可 以 看 作 是 在 系统 访问 控制 策略 下 的 主客 体 。 在 安全 操作 系统 与 安全 网 络 
系统 的 联合 作用 下 ,系统 表现 为 实施 统一 安全 策略 的 完整 的 系统 。 如 果 可 信和 网 络 服务 在 
数据 链 路 层 上 工作 ,网 络 服务 无 法 辨别 统一 计算 机 上 的 不 同 进 程 ,无 法 实施 进程 级 的 访问 
控制 。 此 时 ,主体 是 结 点 ,客体 是 数据 包 , 网 络 访问 控制 策略 与 系统 访问 控制 策略 就 不 
同 了 。 

在 原来 的 系统 访问 控制 策略 中 ,主体 是 进程 ,客体 是 文件 .目录 和 IPC 等 。 系 统 按照 
访问 控制 策略 为 主客 体 赋予 不 同 的 安全 属性 ,并 依据 主客 体 的 安全 属性 控制 主体 对 客体 
的 访问 。 虽 然 网 络 系统 带 有 明显 的 层次 结构 ,内 部 的 主客 体 与 操作 系统 内 部 的 有 所 不 同 ， 
但 是 ,还 是 希望 能 够 将 网 络 访问 控制 策略 看 成 是 系统 访问 控制 策略 在 网 络 系统 的 扩充 ,将 
系统 用 来 控制 主客 体 访问 的 那 一 套 机 制 运用 到 网 络 系统 中 。 这 样 做 有 如 下 几 个 原因 : 第 
一 ' 原 有 的 系统 访问 控制 机 制 的 发 展 已 经 比较 成 熟 , 它 是 建立 在 抽象 的 理论 基础 之 上 的 ， 
因此 适用 范围 很 广 ,完全 可 以 应 用 到 网 络 环境 中 。 第 二 ,网 络 访问 控制 策略 在 高 层 可 以 和 
系统 访问 控制 策略 达到 无 颖 结合 。 第 三 ,网 络 系统 是 为 操作 系统 内 部 服务 的 ,可 以 说 , 它 
代替 了 操作 系统 执行 对 数据 信息 流入 与 流出 的 访问 控制 ,这 些 数据 信息 具有 一 定 的 安全 
属性 , 它 在 通过 网 络 系统 时 以 数据 帧 .数据 包 、 远 程 套 接 字 等 不 同 的 网 络 客体 的 形式 出 现 ， 
在 利用 安全 属性 进行 访问 控制 上 ,网 络 访问 控制 机 制 应 该 具有 与 系统 访问 控制 机 制 同等 
的 能 力 。 可 将 网 络 访问 控制 策略 和 系统 访问 控制 策略 统称 为 系统 整体 访问 控制 策略 。 以 
后 所 讲 的 访问 控制 策略 如 非特 别 指出 ,就 是 指 涵盖 网 络 部 分 的 系统 整体 访问 控制 策略 。 


1033 安全 域 与 相互 通信 


在 没有 借助 于 网 络 系统 进行 互联 以 前 ,各 个 安全 操作 系统 都 具有 各 自 独立 的 系统 安 

全 策略 ,其 中 最 主要 的 就 是 系统 访问 控制 策略 。 不 同 的 系统 访问 控制 策略 可 以 用 不 同 的 

安全 模型 体现 ,例如 基于 BLP 的 机 密 性 模型 ,基于 BIBA 的 完整 性 模型 等 。 当 这 些 系统 
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进行 网 络 互联 并 将 它们 的 访问 控制 机 制 扩展 到 网 络 系统 时 ,一 个 突出 的 问题 就 是 : 具有 
不 同 访问 控制 策略 的 系统 之 间 如 何 相互 信任 与 通信 ? 例如 : 主机 A 上 的 绝密 信息 要 发 给 
主机 B, 如 果 主 机 B 具有 不 同 的 访问 控制 策略 , 它 就 不 能 理解 接收 到 的 信息 是 绝密 的 还 是 
无 密级 的 ,也 就 无 法 实施 对 接收 信息 的 访问 控制 处 理 , 除 非 主机 B 按照 自己 的 安全 策略 
对 接收 信息 重新 分 配 安全 属性 ,然后 再 进行 访问 控制 处 理 。 从 这 个 例子 可 以 看 出 ,在 不 能 
充分 利用 对 方 数据 的 安全 属性 时 ,也 就 是 不 存在 两 方 都 可 以 理解 的 共同 存 取 控制 原 语 时 ， 
访问 控制 机 制 的 功能 将 大 打折 扣 。 

下 面 先 给 出 几 个 相关 定义 ,然后 定义 什么 是 安全 域 。 安 全 上 下 文 (SID) 是 指 在 访问 
控制 策略 下 ,主体 或 客体 被 赋予 的 安全 属性 的 具体 值 。 两 个 结 点 具有 相同 安全 策略 ,是 指 
二 者 的 访问 控制 策略 具有 相同 的 安全 属性 空间 ,任何 安全 上 下 文 在 二 者 中 具有 相同 的 解 
释 ( 相 同 的 原 语 ), 此 外 ,在 二 者 的 网 络 数据 传输 策略 保护 下 ,二 者 之 间 能 够 建立 一 条 可 信 
路 径 。 将 一 组 结 点 的 集合 称 为 一 个 安全 域 ,如 果 它 满足 下 列 条 件 : 该 集合 或 者 只 包含 一 
个 结 点 ,或 者 其 中 任何 一 个 结 点 都 和 该 组 中 其 他 某 个 结 点 具有 相同 安全 策略 。 
图 10-6 给 出 了 一 个 安全 域 的 示意 图 。 


图 10-6 安全 域 示意 图 


从 图 10-6 可 以 看 出 ,安全 域 的 成 员 之 间 可 以 是 物理 上 分 开 的 ,它们 之 间 可 以 存在 非 
可 信和 的 结 点 ,因为 这 并 不 妨碍 它们 在 高 层 协议 上 建立 逻辑 保护 。 以 上 一 直 是 从 网 络 上 单 
独 安全 域 的 观点 来 讨论 的 。 其 实 ,一 个 网 络 可 以 包含 多 个 安全 域 并 存 , 每 个 安全 域 执行 自 
己 的 安全 策略 ,不 信任 其 他 域 中 的 成 员 。 在 极端 情况 下 ,网 络 上 的 每 个 系统 可 以 驻 在 自己 
的 安全 域 中 ,根本 不 信任 其 他 任何 系统 。 

在 安全 域 的 概念 下 ,可 以 将 所 有 结 点 分 为 三 种 类 型 : 同安 全 域 中 结 点 、 非 同安 全 域 中 
结 点 和 非 安全 域 中 结 点 。 某 个 安全 域 的 结 点 在 对 待 这 三 种 不 同 结 点 时 应 该 考虑 如 下 三 个 
不 同 的 问题 : 其 一 ' 如 何 实现 与 同安 全 域 中 结 点 之 间 的 安全 信息 共用 ( 即 对 安全 信息 进行 
标识 和 传输 ,使 得 远 端 能 够 利用 此 安全 信息 进行 访问 控制 检查 )? 其 二 ,如 何 对 待 处 理 与 
非 同安 全 域 中 结 点 之 间 的 通信 ? 其 三 ,如 何 对 待 处 理 与 非 安 全 域 中 结 点 之 间 的 通信 ? 这 
三 个 问题 解决 不 好 ,一 个 实 实在 在 的 安全 网 络 环境 就 不 可 能 建立 起 来 。 对 此 ,这 里 给 出 一 
点 初步 看 法 ,这 三 个 问题 可 通过 如 下 的 策略 方式 分 别 解决 。 第 一 ,在 同一 安全 域内 ,为 每 
一 结 点 提供 数据 安全 信息 标识 与 传输 机 制 , 它 能 够 为 将 要 发 送 的 数据 包 写 入 安全 信息 , 当 
数据 包 到 达 目 的 端 后 ,目的 端 能 够 利用 从 数据 包 中 获得 的 安全 信息 进行 访问 控制 (如 果 安 
全 信息 标识 具有 本 地 化 的 特点 ,还 需要 提供 某 种 映射 机 制 实现 本 地 化 映射 )。 第 二 ,在 不 
同安 全 域 之 间 通 信和 时 ,发 送 方 和 接收 方 对 安全 信息 的 解释 不 同 ,这 就 需要 一 个 策略 映射 组 
件 执行 安全 信息 之 间 的 转换 ,这 样 数据 包 就 可 以 从 一 个 安全 域 发 送 到 另 一 个 安全 域 中 。 

281 


ee 操作 系统 安全 (第 2 版 ) ES 


策略 映射 组 件 可 以 是 集中 式 的 ,也 可 以 放置 在 不 同安 全 域 的 入 口 点 (例如 局 域 网 中 的 网 
关 )。 如 果 能 够 实现 策略 之 间 的 映射 ,不 同安 全 域 成 员 之 间 同 样 能 够 建立 起 与 域内 结 点 相 
同 信任 等 级 的 安全 网 络 。 不 过 ,要 解决 策略 映射 的 实际 问题 需要 建立 一 种 能 够 在 不 同安 
全 域 中 路 由 的 基础 架构 ,这 是 非常 困难 的 。 所 以 ,将 非 同安 全 域 结 点 当 作 非 安全 域 结 点 一 
样 对 待 可 能 更 实际 一 点 。 第 三 , 非 安全 域内 结 点 时 产生 的 数据 包 不 携带 任何 其 他 安全 信 
息 。 应 该 制定 一 种 扩充 的 默认 安全 信息 标识 策略 ,这 种 策略 可 以 适用 于 全 域 ,或 者 针对 某 
个 结 点 。 当 数据 进入 某 个 安全 域 时 ,应 该 用 位 于 域 人 口 的 或 某 个 结 点 内 的 策略 默认 标识 
组 件 为 数据 进行 默认 的 安全 信息 标识 。 

建立 一 条 可 信 路 径 是 构建 安全 网 络 系统 的 基础 。 此 外 ,在 某 安 全 域 结 点 和 非 安全 域 
结 点 之 间 建 立 安全 路 径 也 不 是 完全 没有 作用 的 ,因为 加 密 能 够 建立 系统 之 间 的 相互 鉴别 ， 
如 果 不 想 把 所 有 的 非 安 全 域内 结 点 同等 看 待 ,鉴别 可 以 告诉 我 们 哪些 是 完全 不 信任 的 , 哪 
些 是 有 一 定 可 信 度 的 。 另 外 ,加 密 保 护 数据 安全 传输 ,在 一 定 程度 上 也 增加 了 对 接收 数据 
的 可 信和 度 ,还 是 有 实际 意义 的 。 


1034 网 络 访问 控制 机 制 


网 络 访问 控制 机 制 是 系统 访问 控制 机 制 在 网 络 子 系统 中 的 扩展 。 传 统 的 系统 访问 控 
制 机 制 是 建立 在 BLP 安全 模型 基础 上 的 。BLP 模型 体现 了 机 密 性 策略 的 自主 访问 控制 
和 强制 访问 控制 。 近 年 来 , 随 着 人 们 对 完整 性 策略 认识 的 逐步 提高 ,安全 操作 系统 中 也 逐 
渐 采 用 了 用 于 实现 完整 性 策略 的 安全 模型 。DTE 模型 就 是 其 中 比较 典型 的 一 个 , 它 能 够 
建立 保护 完整 性 的 强制 访问 控制 机 制 。 在 网 络 环境 下 ,依然 可 以 用 BLP 模型 和 DTE 模 
型 指导 建立 保护 网 络 子 系统 机 密 性 和 完整 性 的 强制 访问 控制 机 制 。 当 然 , 由 于 环境 不 同 ， 
所 以 对 这 两 个 模型 也 需要 进行 适当 的 调整 。 

网 络 子 系统 带 有 明显 的 层次 结构 ,例如 Linux 系统 包括 socket 层 、 传 输 层 、 网 络 层 和 
网 络 接口 层 ,因此 客体 访问 也 应 该 在 不 同 的 层次 分 别 控制 。 从 理论 上 来 说 ,每 个 协议 层 都 
可 以 看 成 一 个 单独 的 信息 子 系统 ,每 层 中 都 应 该 拥有 自己 的 访问 控制 机 制 ; 从 实际 实现 上 
来 说 ,这 种 分 层 控制 具有 如 下 几 个 好 处 。 

(1) 在 提供 网 络 服务 的 适当 地 方 设置 检查 点 ,能够 避免 泄露 某 些 信息 。 例 如 ,如 果 不 
在 TCP 层 对 一 个 连接 请 求 包 进行 权限 检查 ,而 是 留 到 应 用 层 执行 ,那么 ,有 套 节 字 正 在 该 
端口 监听 的 信息 就 会 被 泄露 。 

(2) 尽早 丢弃 非法 的 数据 包 ,减少 非 授权 通信 带 来 的 消耗 资源 。 有 时 在 应 用 层 甚至 
是 传输 层 拒绝 数据 包 时 也 太 晚 了 ,如 果 能 在 网 络 接 口 层 就 丢弃 非法 的 数据 包 , 可 使 花费 在 
非 授 权 通信 上 的 时 间 尽 可 能 地 减少 。 

(3) 如 果 结 点 仅仅 提供 中 转 服务 ,就 需要 直接 在 网 络 层 中 实现 路 由 协议 的 访问 控制 ， 
而 不 能 够 留 给 传输 层 处 理 。 

(4) 另外 ,层次 化 的 客体 访问 控制 检查 避免 了 对 网 络 协议 分 层 特性 的 干扰 。 

无 论 是 BLP 模型 还 是 DTE 模型 ,都 需要 首先 明确 它们 要 控制 的 网 络 实体 是 哪些 。 
在 实际 构造 模型 时 ,不 可 能 将 在 安全 网 络 的 主体 .客体 和 访问 控制 中 提 到 的 所 有 主客 体 纳 
入 安全 模型 的 控制 范围 之 内 。 上 面 对 主 客体 的 讨论 是 从 概念 的 角度 出 发 的 ,不 能 代表 访 
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问 控制 实际 的 实现 情况 。 这 可 以 说 是 一 种 妥协 ,因为 我 们 希望 安全 模型 能 够 足够 简单 和 
容易 验证 ,能 够 突出 和 解决 主要 的 安全 问题 。 通 常情 况 下 ,安全 模型 主要 控制 以 下 的 这 些 
网 络 实体 。 

(1) 网 络 进程 : 作为 系统 中 主体 进程 的 一 部 分 ,网 络 相关 的 进程 必然 是 被 模型 考虑 
的 对 象 。 模 型 为 系统 中 所 有 的 进程 赋予 安全 属性 ,用 来 控制 进程 对 其 他 实体 的 访问 。 

(2) 套 节 字 : 套 节 字 扮 演 了 一 个 通信 端点 的 角色 ,进程 可 以 通过 它 发 送 和 接收 数据 ， 
所 以 套 节 字 也 绑 定 了 安全 属性 ,它们 将 在 套 节 字 的 发 送 和 接收 操作 中 用 到 。 此 外 , 套 节 字 
有 一 些 用 户 可 访问 的 私有 状态 ,对 套 节 字 的 私有 状态 进行 操作 时 也 要 进行 许可 权 检 查 。 

(3) 数据 包 : 模型 为 每 一 个 数据 包 都 绑 定 了 安全 信息 ,以 便 在 发 送 操作 和 接收 操作 
中 进行 许可 权 检 查 。 对 于 流 套 节 字 来 说 ,每 个 数据 包 的 安全 信息 是 继承 于 它 所 属 的 套 节 
字 的 ;对 于 非 流 套 节 字 来 说 ,数据 包 的 安全 信息 可 以 特殊 指定 。 

(4) 端口 名 : 虽然 一 个 端口 名 仅仅 是 和 一 个 套 节 字 相关 联 的 名 字 , 它 也 应 该 被 看 成 
是 一 个 客体 ,因为 应 用 程序 希望 能 够 在 特殊 的 端口 上 提供 特殊 的 服务 。 模 型 为 每 个 端口 
赋予 一 定 的 安全 属性 ,用 来 控制 套 节 字 能 够 绑 定 到 该 端口 的 能 力 。 

(5) 结 点 : 每 个 结 点 (例如 主机 、 路 由 器 等 ) 都 被 赋予 一 个 安全 属性 。 结 点 的 安全 属 
性 用 在 有 数据 包 发 往 该 结 点 和 从 该 结 点 接收 数据 包 时 的 许可 权 检 查 中 。 执 行 这 些 检查 能 
够 避免 系统 将 自己 的 资源 暴露 给 它 不 想 与 之 通信 的 系统 。 

(6) 网 络 接口 : 模型 为 每 个 结 点 上 的 网 络 接口 赋予 一 个 安全 属性 , 当 在 该 接口 上 发 
送 和 接收 数据 包 时 ,该 安全 属性 将 用 于 访问 控制 检查 ,这 样 能 够 控制 在 该 网 络 接 口上 发 送 
的 输出 包 集合 和 接收 的 输入 包 集 合 。 如 果 一 个 结 点 有 多 个 网 络 接口 ,它们 可 以 有 不 同 的 
安全 此 下 奖 。 

BLP 模型 在 网 络 子 系统 中 扩展 时 遇 到 的 最 大 的 问题 也 许 就 是 BLP 的 * 特性 。* 特 
性 只 允许 敏感 信息 的 单 向 流动 .这 在 网 络 环境 下 很 难 做 到 ,因为 网 络 协议 大 多 是 双向 的 。 
如 何 修改 BLP 模型 以 适应 全 新 的 网 络 环境 ,长 期 以 来 都 是 一 个 令 人 头疼 的 问题 。 

在 这 里 ,介绍 一 种 作者 认为 可 行 的 方案 。SecLinux V3 中 曾经 实现 了 一 个 修改 后 的 
BLP 模型 MBLP。 在 MBLP 的 基础 上 ,可 以 进行 下 面 的 扩展 。 

(1) 吸收 Bell 在 Bell88 中 处 理 网 络 情况 时 的 思想 ,把 主体 的 当前 安全 级 变 成 一 个 偶 
(view-max,alter-min)。 这 一 改进 使 一 个 主体 能 够 读 一 个 安全 级 别 不 等 于 自己 的 文件 ,并 
对 它 进 行 修改 。 

(2) 引入 了 多 级 客体 和 可 信和 客体 的 概念 , 除 可 信和 客体 外 ,每 个 客体 被 赋予 一 个 标签 范 
围 (0o-max,o-min)。 

(3) 主体 对 客体 的 访问 分 为 多 级 属性 访问 和 单 级 属性 访问 两 种 。 

访问 控制 机 制 按 照 如 下 方式 分 层 进行 : 

(1) 在 socket 层 , 当 前 进程 向 本 地 socket 发 送 消息 时 ,检查 进程 对 socket 的 多 级 育 
写 (Append) 访 问 权 ;当前 进程 从 本 地 socket 接收 消息 时 ,检查 进程 对 socket 的 多 级 读 取 
(Read) 访 问 权 。 

(2) 在 传输 层 , 当 本 地 socket 接收 从 对 端 socket 发 来 的 数据 包 时 ,检查 进程 对 对 端 
socket 的 单 级 写 (Write) 许 可 权 。 
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(3) 在 网 络 层 , 当 接收 到 一 个 从 链 路 层 传 来 的 数据 包 时 ,检查 网 络 接口 Cnetif) 对 数据 
包 的 多 级 读 取 (Read) 访 问 权 ,和 对 端 网 络 结 点 (node) 对 数据 包 的 多 级 写 (Write) 许 可 权 。 
当 发 送 一 个 数据 包 到 链 路 层 时 ,检查 网 络 接口 (netif) 对 数据 包 的 多 级 盲 写 (Append) 访 问 
权 , 和 对 端 网 络 结 点 Cnode) 对 数据 包 的 多 级 写 (Write) 许 可 权 。 该 机 制 不 在 数据 链 路 层 进 
行 访问 控制 ,因为 在 该 层 访问 不 到 可 用 的 数据 安全 信息 ,所 以 对 网 络 接口 的 控制 放 到 了 网 
络 层 实现 。 

DTE 模型 比 BLP 模型 还 要 复杂 一 些 , 因 为 BLP 模型 毕竟 是 一 种 格 模型 ,而 DTE 模 
型 是 一 种 基于 类 型 的 模型 。 该 模型 为 网 络 子 系统 定义 了 许多 的 域 (domain) 和 类 型 
(type) ,其 外 还 从 具有 相同 属性 的 类 型 中 抽象 出 类 (class) 的 概念 ,并 且 为 每 个 类 定义 了 一 
组 许可 权 。DTE 模型 基于 这 些 概念 定义 了 许多 域 对 类 型 和 类 型 对 类 型 的 访问 规则 ,并 将 
整个 网 络 协 议 栈 纳入 到 该 规则 的 控制 之 下 。 关 于 DTE 模型 的 具体 细节 可 参看 相关 
文档 。 
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数据 安全 信息 的 标识 与 传输 机 制 是 安全 域内 结 点 能 够 共享 对 方 安全 信息 的 基础 。 这 
其 中 主要 涉及 两 个 主要 问题 。 其 一 是 如 何 将 安全 信息 在 协议 栈 中 进行 标识 与 传递 ,使 安 
全 信息 能 够 写 入 发送 的 数据 包 中 ,还 可 以 从 接收 的 数据 包 中 读 出 安全 信息 。 甚 二 是 采用 
什么 编码 方式 将 安全 信息 绑 定 到 数据 包 中 ,这 种 传递 安全 信息 的 方式 必须 是 可 行 的 ,不 能 
对 原来 的 协议 传输 产生 过 多 影响 。 曾 经 有 人 将 安全 信息 借助 IPsec 安全 联盟 的 建立 进行 
交换 ,不 过 这 种 方法 将 安全 信息 的 交换 与 数据 的 安全 保护 混杂 在 一 起 ,缺乏 灵活 性 通用 
性 。 现 在 通用 的 一 个 思路 是 借助 于 IP 选项 (IP options) 进 行 安全 信息 的 传递 。 总 之 ,如 
何 实现 该 机 制 ,解决 上 面 提 到 的 两 个 问题 ,是 一 个 很 实际 和 具体 的 问题 ,没有 统一 的 标准 ， 
人 们 可 以 采用 任何 实际 可 行 的 方法 。 在 这 里 简单 介绍 SecLinux V4 开发 中 用 到 的 方法 。 
该 方法 直接 借鉴 和 利用 了 SELinux 中 提供 的 Network SIDCNSID)API 和 Selopt 实现 
方式 。 

NSID API 为 网 络 子 系统 提供 了 一 个 通用 的 框架 ,屏蔽 了 下 层 的 不 同 实现 机 制 , 以 支 
持 网 络 安全 信息 标识 , 它 定 义 了 如 下 的 接口 。 

(1) nsid_ip_lable_output: 根据 network buffer 的 安全 域 结构 中 的 安全 信息 对 即将 
发 出 的 数据 包 进 行 安全 信息 标识 。 

(2) nsid_ip_map_input: 将 到 来 数据 包 携带 的 远 端 安全 信息 进行 本 地 化 映射 。 

(3) nsid_ip_decode_options: 将 到 来 数据 包 携 带 的 安全 信息 解码 到 与 之 相关 的 
network buffer 的 安全 域 结构 中 。 

(4) nsid_ip_defragment: 验证 到 来 数据 分 片 的 安全 信息 ,以 保证 某 个 数据 包 所 有 的 
分 片 有 连续 一 致 的 安全 信息 。 

(5) nsid_sock_sendmsg: 如 果 使 用 了 网 络 安全 信息 标识 , 它 将 为 TCP 数据 段 调整 有 
效 的 MSS 值 。 总 之 ,NSID 只 是 一 个 框架 , 它 仅 为 这 些 接口 提供 了 一 组 “虚假 ”(dummy) 
实现 。 任 何 一 种 基于 NSID 的 具体 实现 都 可 以 通过 nsid_register_ops 注册 ,以 使 自行 定 
义 的 函数 具体 操作 能 够 代替 原来 的 “虚假 ”操作 。 
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Selopt 是 一 种 NSID 的 具体 实现 , 它 通过 利用 CIPSO/FIPS-188 IP 选项 实现 安全 信 
息 在 网 络 中 的 传输 。 概 括 来 说 ,Selopt 提供 了 如 下 的 功能 : 

(1) 用 本 地 的 SIDs 来 标识 IPv4 数据 包 ; 

(2) 指定 哪些 数据 包 需 要 安全 标识 ; 

(3) 对 远 端 的 安全 标识 进行 解码 ; 

(4) 对 远 端 SIDs 进行 本 地 化 映射 。 

Selopt 使 用 了 与 上 述 相同 的 安全 域 概念 ,并 且 提 供 了 安全 域 用 户 管理 工具 pt, 该 工 
具 能 够 添加 或 删除 某 个 结 点 。 当 发 送 一 个 数据 包 到 某 个 在 pt 内 的 结 点 时 ,Selopt 将 为 它 
标识 安全 信息 ;同时 一 个 从 pt 内 某 结 点 发 来 的 数据 包 必须 被 标识 ,否则 将 被 丢弃 。 

由 于 发 送 的 数据 包 是 由 本 地 的 SID 进行 标识 的 ,而 SID 只 在 本 地 有 意义 ,因此 Selopt 
定义 了 安全 上 下 文 映射 协议 (Security Context Mapping Protocol, SCMP)。SCMP 协议 
是 一 个 基于 UDP 的 简单 协议 ,用 来 实现 安全 信息 的 本 地 化 映射 。SCMP 的 设计 遵循 了 
简单 化 原则 , 它 是 一 个 端 到 端的 协议 ,各 端 既 可 以 是 发 起 者 ,也 可 以 是 接收 者 。SCMP 协 
议 详细 定义 了 三 种 消息 类 型 的 数据 格式 和 三 种 消息 会 话 场景 。 利 用 该 协议 ,接收 端 能 够 
通过 发 送 SID 转换 请 求 ,获得 发 送 端 与 该 SID 对 应 的 安全 上 下 文 ,然后 调用 本 地 安全 服 
务 器 接口 ,将 它 转换 成 本 地 SID。Selopt 为 此 提供 了 一 个 守护 进程 smpd 实施 此 协议 。 

Selopt 为 IP 选项 定义 了 如 下 的 参数 : Bypass( 为 SCMP 数据 包 保 留 的 标志 位 ,以 免 
出 现 循环 查询 )、Serial(32 位 的 策略 序列 号 )、SSID(32 位 的 源 端 socket 的 SID) 、MSID 
(32 位 的 消息 SID) .DSID(32 位 的 目的 端 socket 的 SID)。 其 中 , MSID 和 DSID 其 实 是 
为 网 络 安全 功能 扩展 而 预 留 定义 的 。 如 果 使 用 了 IP 选项 ,那么 其 中 参数 的 使 用 情况 必然 
是 下 列 二 者 之 一 : 仅 有 Bypass 参数 ; 必 有 Serial 和 SSID 参数 ,MSID 和 DSID 参数 可 选 。 


1036 数据 传输 保护 机 制 


通常 使 用 数据 传输 保护 机 制 构建 一 条 受 保 护 的 可 信 路 径 。 数 据 安 全 传输 保护 机 制 能 
够 为 访问 控制 机 制 提供 鉴别 服务 ,保护 数据 传输 的 机 密 性 、 完 整 性 和 非 否认 性 等 。 在 单机 
系统 下 ,数据 安全 传输 保护 机 制 一 般 是 物理 保护 ,但 是 在 非 分 布 式 环境 下 ,物理 保护 是 难 
以 做 到 的 。 所 以 ,该 机 制 通常 是 依赖 于 密码 技术 来 提供 逻辑 保护 的 密码 服务 机 制 。 

将 密码 服务 放 在 网 络 栈 中 的 哪 一 层 是 一 个 非常 复杂 的 问题 , 它 对 服务 的 实施 特性 和 
程度 有 很 大 的 影响 。 有 如 下 几 个 可 选 的 方案 。 第 一 ,数据 链 路 层 , 在 数据 链 路 层 实施 加 密 
有 两 个 优点 ,一 个 是 相对 于 在 高 层 运行 的 应 用 程序 的 透明 性 , 另 一 个 是 可 以 在 硬件 中 实施 
加 密 。 但 它 同 时 也 有 几 个 缺点 : 如 果 在 不 同 的 结 点 之 间 有 中 间 结 点 ,由 于 在 这 个 结 点 上 
必须 解密 以 获得 继续 处 理 该 数据 所 必需 的 信息 ,所 以 在 中 间 结 点 就 可 以 观测 到 数据 的 明 
文 ; 此 外 ,由 于 所 有 的 中 间 结 点 都 需要 相互 交换 密 钥 ,这 使 得 必须 花费 相当 的 代价 来 对 密 
钥 进行 有 效 管 理 。 第 二 ,网 络 层 ,IPsec 为 IP 层 的 认证 和 加 密 提 供 了 一 个 标准 ,在 IPv4 中 
是 可 选 的 ,在 IPv6 中 是 必需 的 。IPsec 实现 在 IP 层 ,与 TCP/UDP 等 上 层 协 议 无 关 , 所 以 
对 应 用 透明 ,无 须 改变 相应 的 应 用 程序 。IPsec 能 够 在 IP 层 提供 灵活 多 变 的 实现 方式 ,可 
以 是 端 到 端的 (两 个 用 户 直 接 通 信 ), 子 网 到 子 网 的 (可 提供 VPN 服务 ) ,也 可 以 是 端 到 子 
网 的 (支持 出 差 用 户 漫游 ) 。IPsec 的 一 个 缺点 是 它 不 直接 支持 两 端 用 户 之 间 的 安全 关 
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联 , 它 只 能 够 认证 到 主机 地 址 级 别 。 第 三 ,传输 层 , Netscape’s 的 安全 套 节 字 层 (Secure 
Socket Layer,SSL) 提 供 了 一 个 在 应 用 层 进行 认证 和 加 密 的 标准 。SSL 有 独立 于 上 层 应 
用 协议 和 无 须 改动 操作 系统 的 优点 。SSL 协议 有 一 个 问题 就 是 它 对 应 用 程序 不 是 透明 
的 ,有 安全 需求 的 网 络 应 用 程序 需要 进行 改写 以 符合 该 标准 。 此 外 ,相对 于 IPsec 协议 ， 
它 不 能 提供 对 IP 头 信 息 的 完整 性 保护 ,而且 只 支持 端 到 端 方 式 。 鉴 于 IPsec 在 网 络 层 的 
灵活 实现 方式 和 它 未 来 的 发 展 趋势 ,下 面 主要 对 IPsec 做 比较 详细 的 介绍 ,具体 介绍 它 是 
如 何 为 系统 提供 数据 安全 传输 保护 功能 的 。 

IPsec 系统 是 由 一 系列 协议 组 成 的 协议 簇 , 其 中 主要 包括 认证 头 (Authentication 
Header,AH) 封装 安全 载荷 (Encapsulating Security Payload,ESP) Internet 密 钥 交换 
(Internet Key Exchange,IKE) 等 协议 。AH 为 IP 包 提 供 数 据 完 整 性 和 验证 服务 。ESP 
为 PP 数据 报 提 供 数 据 源 验证 、 数 据 完整 性 、 抗 重播 和 机 密 性 安全 服务 。IKE 为 AH 和 ESP 
提供 了 密 钥 交 换 机 制 。 还 有 一 些 组 成 部 分 (如 安全 策略 系统 ) ,至 今 仍 未 制定 RFC 文档 。 

IPsec 的 安全 服务 是 由 通信 双方 建立 的 安全 联盟 (Security Association ,SA) 提 供 的 。 
SA 为 通信 提供 了 安全 协议 ,模式 、 算 法 和 应 用 于 单 向 IP 流 的 密 钥 等 安全 信息 。SA 通过 
安全 关联 库 (Security Association Database, SAD) 进 行 管理 。 每 一 个 IPsec 结 点 包含 一 
个 局 部 的 安全 策略 库 (Security Policy Database,SPD)。IPsec 的 安全 策略 库 SPD 存储 了 
网 络 系统 的 网 络 密码 保护 策略 ,其 中 每 个 条 目 定义 了 要 保护 的 是 什么 通信 ,怎样 保护 它 以 
及 和 谁 共 享 这 种 保护 。IPsec 通信 到 IPsec 保护 策略 的 映射 关系 是 由 “选择 符 (Selector)” 
建立 的 , 它 包括 源 IP 地 址 ,目标 IP 地 址 、 名 字 、 上 层 协 议 、 源 和 目标 端口 以 及 一 个 数据 敏 
感 级 。 这 些 选 择 符 可 以 是 特定 的 条 目 、 一 个 范围 或 者 一 个 通配符 。IPsec 系统 在 处 理 输 
入 输出 IP 流 时 必须 参考 该 策略 库 , 并 根据 从 SPD 中 提取 的 策略 对 IP 流 进行 不 同 的 处 
理 : 拒绝 、 绕 过 、 进 行 IPsec 保护 。 如 果 策 略 决定 IP 流 需 要 经 过 IPsec 处 理 , 则 根据 SPD 
与 SAD 的 对 应 关系 ,找到 相应 的 SA, 并 对 IP 包 进 行 指定 的 IPsec 处 理 。 

IPsec 有 三 种 实施 方式 。 第 一 ,与 IP 协议 栈 整合 ,该 模型 需要 对 操作 系统 的 IP 协议 
栈 源 代码 进行 修改 ,实现 效率 高 。 在 这 方面 ,已 经 有 人 做 出 了 一 些 工作 ,他 们 基于 现 有 的 
Netfilter 架构 ,将 IPsec 的 处 理 过 程 通过 不 同 阶段 的 hook 调用 插入 到 IP 处 理 过 程 中 。 
第 二 ,堆栈 中 的 块 (BITS) ,IPsec 协议 模块 作为 “ 攀 子 插入 到 网 络 层 和 数据 链 路 层 中 间 。 
该 模型 不 需要 修改 操作 系统 内 核 ,实现 效率 较 低 。 该 方法 实现 起 来 比较 简单 ,可 以 利用 一 
些 第 三 方 的 协议 套间 ,例如 国际 上 流行 的 FreeS/WAN-2. 0 IPsec 实现 套件 ,该 套件 在 内 
核 层 实现 了 AH 和 ESP 协议 (KLIPS 子 系统 ), 并 且 提 供 了 用 户 级 的 密 钥 管 理 守护 程序 
(Pluto 子 系统 )。 第 三 , 线 中 的 块 (BITW), 用 硬件 实施 IPsec 协议 ,实现 效率 最 高 。 系 统 
应 该 采用 哪 一 种 实现 方式 ,应 根据 实际 的 软 硬 件 等 情况 而 定 。 


104 ”安全 网 络 系统 的 将 来 发 展 趋 势 


本 章 试图 使 读者 能 够 对 安全 网 络 系统 有 一 个 整体 的 认识 ,因此 讨论 的 内 容 多 是 概念 
上 的 ,建议 性 的 东西 比 实际 技术 上 的 东西 更 多 一 些 。 这 其 实 也 反映 了 这 样 一 个 现状 ,就 是 
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整个 安全 网 络 系统 的 开发 与 应 用 尚 缺 乏 一 些 统一 的 理论 和 标准 来 指导 。 从 TNI 的 发 布 
到 现在 ,在 构建 可 信 网 络 系统 上 ,还 没有 什么 实际 成 功 的 例子 供 参考 。 

致力 于 解决 安全 网 络 系统 所 存在 的 许多 悬而未决 的 问题 ,应 该 是 作为 一 个 网 络 安全 
工作 者 的 努力 方向 。 将 来 的 工作 可 在 如 下 几 个 方面 展开 。 

(1) 制定 一 个 能 够 指导 实际 安全 网 络 系统 开发 的 通用 安全 体系 结构 模型 ,这 应 该 是 
最 重要 和 迫切 的 。 

(2) 实现 IPsec 协议 与 操作 系统 的 集成 ， oo 的 用 户 管理 程序 ,能 
够 对 密 钥 、 安 全 策略 库 (SPD) 和 安全 关联 库 (SAD) 进 行 有 效 的 管 

(3) er pg mening 现在 , 密 钥 
已 不 仅 是 IPsec 数据 保护 不 可 缺少 的 部 分 , 它 可 能 还 会 用 于 用 户 身份 的 认证 ,甚至 还 可 以 
用 来 进行 授权 管理 ,例如 SPKI。 

(4) 研究 如 何 基 于 数据 包 的 安全 属性 和 路 由 的 安全 属性 选择 一 个 特定 的 路 由 ,实现 
基于 安全 策略 的 路 由 。 

(5) 系统 需要 有 专门 的 主机 或 者 网 关 提 供 策略 映射 服务 ,将 来 自 不 同安 全 周 界 的 安 
全 上 下 文 映 射 为 本 地 主机 理解 的 安全 上 下 文 ,这 可 以 通过 一 个 映射 表 或 者 一 种 更 动态 的 
方式 完成 。 

(6) 系统 中 结 点 的 安全 上 下 文 是 通过 安全 策略 配置 在 本 地 指定 的 ,其 实 它 更 应 该 通 
过 其 他 可 信 的 方式 远程 获得 。 一 旦 稳定 的 DNSSEC 实现 成 为 可 能 ,就 可 以 用 安全 的 方式 
通过 DNS 服务 来 获得 结 点 的 安全 上 下 文 。 

(7) 对 网 络 隐蔽 通道 和 拒绝 服务 攻击 进行 必要 的 研究 与 处 理 。 

(8) 继续 进行 分 布 式 访问 控制 方面 的 研究 。 

总 的 来 讲 , 安 全 网 络 系统 的 发 展 越 来 越 受 到 人 们 的 重视 ,这 给 它 的 发 展 带 来 了 新 的 机 
过 与 动力 。 但 同时 也 应 注意 到 , 随 着 网 络 应 用 的 逐渐 深入 ,各 种 意 想不到 的 安全 问题 也 会 

突然 涌现 出 来 ,网 络 安全 的 问题 一 定 会 日 趋 严重 ,给 安全 网 络 系统 的 进一步 发 展 增加 了 许 

多 困难 和 挑战 。 


_ 105 本章 小 结 


本 章 站 在 安全 操作 系统 的 角度 ,认为 现 有 的 网 络 系统 的 安全 问题 反映 了 安全 操作 系 
统 扩 展 到 网 络 应 用 环境 时 所 需 的 额外 的 安全 需求 ,所 以 网 络 系统 的 安全 问题 和 安全 操作 
系统 的 安全 问题 是 密切 相关 的 ,操作 系统 的 安全 是 网 络 系统 安全 的 基石 。 

本 章 首 先 从 网 络 体系 结构 人 手 ,分 别 介绍 了 ISO 七 层 网 络 体系 结构 和 TCP/IP 四 层 
网 络 体系 结构 及 它们 之 间 的 关系 。 然 后 讨论 了 网 络 安 全 威胁 和 安全 服务 方面 的 内 容 。 要 
建造 一 个 分 布 式 的 安全 网 络 系统 ,往往 涉及 网 络 安全 策略 .安全 域 ` 网 络 访问 控制 机 制 数 
据 安 全 信息 标识 与 传输 机 制 以 及 数据 传输 保护 机 制 等 方面 的 内 容 , 这 其 中 ,现代 密码 技术 
和 身份 认证 技术 是 这 些 网 络 安全 技术 和 机 制 的 基础 ,也 是 现代 网 络 安全 的 基础 。 

网 络 安全 技术 是 一 门 迅猛 发 展 的 技术 ,这 是 由 于 现 有 技术 水 平和 实践 应 用 要 求 之 间 
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所 存在 的 巨大 差距 所 驱动 的 ,因此 本 章 在 最 后 一 节 讨论 了 网 络 安全 研究 的 一 些 领 域 ,其 也 
是 围绕 着 网 络 中 的 安全 问题 展开 的 。 


“10.6 习题 


1. 何谓 网 络 体系 结构 ? 当前 主流 的 网 络 体 系 结构 主要 有 哪些 ? 试 述 它们 之 间 的 异 


. 列举 网 络 中 的 主要 安全 威胁 。 

. 列举 网 络 中 的 主要 安全 服务 。 

试 述 网 络 安全 策略 和 操作 系统 安全 策略 之 间 的 关系 。 

. 什么 是 安全 域 ? 试 述 安 全 域 间 的 通信 类 型 。 

. 简 述 网 络 中 的 存 取 控制 机 制 , 以 及 和 安全 操作 系统 中 的 存 取 控制 机 制 之 间 的 


WW Mo 


关系 。 
7. 什么 是 网 络 中 数据 安全 信息 标识 与 传输 机 制 ? 
8. 数据 传输 保护 机 制 有 哪些 ? 
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第 TIL 章 
卫 可 信 计 算 与 可 信 操 作 系 统 


自从 TCSEC 和 CC 标准 推出 以 来 ,通过 软件 的 方法 建立 可 信 计 算 基 (TCB) 的 操作 系 
统 安 全 研究 与 开发 一 直 是 业界 的 主流 。 但 是 , 仅 通过 软件 的 安全 保护 一 个 PC 或 者 其 他 
类 型 平台 的 安全 仍然 存在 很 多 脆弱 性 。 因 为 软件 安全 解决 方案 的 可 信和 度 依赖 于 软件 的 正 
确 安 装 和 执行 ,这 些 软件 会 受到 同一 平台 上 其 他 软件 的 执行 的 影响 ,甚至 最 可 靠 和 严格 控 
制 的 软件 都 无 法 保证 自己 的 完整 性 。 信 息 安全 专家 一 致 认为 ,一 些 安全 问题 无 法 完全 通 
过 软件 来 解决 ,需要 可 信 硬 件 作为 软件 安全 机 制 的 基 。 随 着 1999 年 国际 可 信 计 算 平台 
盟 TCPA(2003 年 改 为 可 信 计 算 组 织 TCG) 提 出 可 信 计 算 的 概念 ,并 推出 可 信 平 台 模块 
TPM 硬件 标准 规范 以 来 ,通过 可 信 计 算 硬件 信任 根来 保证 系统 在 引导 过 程 中 组 件 的 可 信 
性 ,保证 系统 平台 上 从 BIOS 直到 操作 系统 以 及 其 上 层 应 用 程序 的 可 信 性 ,建立 由 底 至 上 
的 可 信 计 算 基 (TCB) 逐 渐 成 为 业界 的 研究 热点 。2007 年 12 月 我 国 也 相继 推出 自主 的 可 
信 加 密 模 块 TCM 标准 与 规范 ,并 开展 了 相关 研究 与 开发 。 本 章 将 从 国内 外 可 信 计 算 概 
述 .可 信 平 台 模 块 TPM 与 可 信 加 密 模块 TCM 技术 .可 信 平 台 相 关 技 术 以 及 基于 TPM/ 
TCM 的 可 信 操 作 系 统 相 关 技 术 等 方面 进行 全 面 介 绍 , 帮 助 读 者 理解 可 信 计 算 的 概念 和 
技术 ,以 及 基于 TPM/TCM 可 信 操 作 系 统 的 核心 技术 。 


“11.1 可 信 计 算 概述 


11.1.1 可 信 计 算 概念 


说 到 可 信 计 算 ,首先 必须 准确 地 把 握 一 个 概念 一 一 信任 在 计算 机 应 用 环境 中 的 含义 。 
信任 是 一 个 复杂 的 概念 , 当 某 一 件 东西 为 了 达到 某 种 目的 总 是 按照 人 们 所 期 望 的 方式 运 
转 , 我 们 就 说 我 们 信任 它 。 在 ISO/IEC 15408 标准 中 给 出 了 以 下 定义 : 一 个 可 信 的 组 件 、 
操作 或 过 程 的 行为 在 任意 操作 条 件 下 是 可 预测 的 ,并 能 很 好 地 抵抗 应 用 程序 软件 .病毒 以 
及 一 定 的 物理 干扰 造成 的 破坏 。 因 此 ,一 个 可 信 的 计算 机 系统 所 提供 的 服务 可 以 认证 其 
为 可 信赖 的 。 系 统 所 提供 的 服务 是 用 户 可 感知 的 一 种 行为 ,而 用 户 则 是 能 与 之 交互 的 另 
一 个 系统 (人 或 者 物理 的 系统 )。 计 算 机 系统 的 可 信 性 应 包括 可 用 人 性、 可 靠 性 .安全 性 、 健 
壮 性 、 可 测试 性 、 可 维护 性 等 。 

但 是 , 仅 通 过 软件 的 安全 保护 一 个 PC 或 者 其 他 类 型 平台 的 安全 仍然 存在 很 多 脆弱 
性 。 因 为 软件 安全 解决 方案 的 可 信和 度 依赖 于 软件 的 正确 安装 和 执行 ,这 些 软件 会 受到 同 
一 平台 上 其 他 软件 的 执行 的 影响 ,甚至 最 可 靠 和 严格 控制 的 软件 都 无 法 保证 自己 的 完整 
性 。 所 以 可 信 计 算 就 是 要 通过 硬件 一 一 TPM/TCM 支持 保护 终端 最 敏感 的 信息 ,如 私 钥 
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和 对 称 密 钥 不 被 窃取 或 不 被 恶意 代码 使 用 。 可 信 计 算 假 定 客户 端 软件 在 使 用 过 程 中 可 能 
遭 到 破坏 , 当 攻 击发 生 时 ,敏感 的 密 钥 要 保护 起 来 。 可 以 说 ,可 信 计 算 设 计 目 的 是 要 "对 漂 
浮 在 软件 海洋 中 的 船只 一 一 客户 端 提 供 一 只 锚 ”。 可 信 计 算 组 织 TCG 在 制定 的 规范 中 
定义 了 可 信 计 算 的 三 个 属性 。 

(1) 认证 : 计算 机 系统 的 用 户 可 以 确定 与 他 们 进行 通信 的 对 象 身份 。 

(2) 完整 性 : 用 户 确保 信息 能 被 正确 传输 。 

(3) 私密 性 : 用 户 相 信 系统 能 保证 信息 的 私密 性 。 

事实 上 ,可 信 计 算 的 形成 是 有 一 个 历史 过 程 的 。 在 可 信 计 算 的 形成 过 程 中 ,容错 计 
算 、 安 全 操作 系统 和 网 络 安 全 等 领域 的 研究 使 可 信 计 算 的 含义 不 断 拓展 ,由 侧重 于 硬件 的 
可 靠 性 、 可 用 性 ,到 针对 硬件 平台 、 软 件 系 统 服 务 的 综合 可 信 , 适 应 了 网 络 应 用 系统 不 断 拓 
展 的 发 展 需 要 。 


1. 容错 计算 阶段 

在 计算 机 领域 ,对 于 “可 信和 ”的 研究 ,可 追溯 到 第 一 台 计 算 机 的 研制 。 那 时 人 们 就 认识 
到 ,不论 怎样 精心 设计 ,选择 多 么 好 的 元 件 ,物理 缺陷 和 设计 错误 总 是 不 可 避免 的 ,所 以 需 
要 各 种 容错 技术 来 维持 系统 的 正常 运行 。 计 算 机 研制 和 应 用 初期 ,对 计算 机 硬件 比较 关 
注 。 但 是 ,对 计算 机 高 性 能 的 需求 使 得 时 钟 频率 大 大 提高 ,因而 降低 了 计算 机 的 可 靠 性 。 
随 着 元 件 可 靠 性 的 大 幅度 提高 ,可靠 性 问题 有 所 改善 。 此 后 人 们 还 关注 设计 错误 .交互 错 
误 .恶意 推理 .暗藏 入 侵 等 人 为 故障 造成 的 各 种 系统 失效 状况 ,研发 了 集成 故障 检测 技术 、 
元 余 备份 系统 的 高 可 用 性 容错 计算 机 。 

1999 年 IEEE 太平 洋 沿 岸 容错 系统 会 议 改 名 为 IEEE 可 信 计 算 会 议 ,在 香港 召开 。 
2000 年 IEEE 国际 容错 计算 会 议 (FTCS) 与 国际 信息 处 理 联 合 会 (IFIP)10.4 工作 组 主持 
的 关键 应 用 可 信 计 算 工作 会 议 合 并 ,并 从 此 改名 为 IEEE 可 信 系 统 与 网 络 国际 会 议 
(ICDSN)。ICDSN 2000 当年 在 纽约 召开 ,标志 着 容错 计算 领域 的 研究 ,无 论 在 内 容 、 方 
法 和 组 织 方面 都 有 重大 调整 。2000 年 12 月 11 日 以 美国 卡 内 基 - 梅 隆 大 学 与 美国 国家 宇 
航 总 署 (NASA) 的 Ames 研究 中 心 为 主 成 立 了 高 可 信 计 算 联 盟 (High Dependability 
Computing Consortium) ,包括 Adobe、 康 柏 .、 惠 普 、IBM、 微 软 、Sybase、SUN 等 在 内 的 
12 家 信息 产业 公司 , 麻 省 理工 学 院 、 佐 治 亚 理工 学 院 和 华盛顿 大 学 等 都 加 入 了 该 联盟 。 
成 立 大 会 由 卡 内 基 - 梅 隆 大 学 校长 和 Ames 研究 中 心 主任 主持 ,并 决定 在 宇航 总 署 的 加 州 
硅谷 研究 园 设立 卡 内 基 - 梅 隆 大 学 分 校园 ,对 高 可 信 性 计算 进行 基础 研究 .实验 研究 和 工 
程 研究 ,力图 使 计算 机 系统 的 建造 和 维护 成 为 像 土木 工程 .医学 一 样 的 学 科 。 值得 注意 的 
是 ,在 容错 计算 领域 ,可 信 性 被 定义 为 计算 机 系统 的 一 种 性 质 , 它 所 提供 的 服务 是 用 户 可 
感知 的 一 种 行为 ,并 可 以 论证 其 可 信赖 ,而 用 户 则 是 能 与 之 互动 的 另 一 个 系统 (人 或 者 物 
理 的 系统 )。 因 为 “可 靠 (Dependability)” 而 “可 信 ”, 因 此 容错 计算 又 称 为 “可 靠 计 算 ” 
(Dependable Compnuting) 。 容 错 计算 领域 的 可 信 性 包括 可 用 性 .可 靠 性 .可 维护 性 、 安 全 
性 、 健 壮 性 和 可 测试 性 等 。 


2 安全 操作 系统 阶段 
实际 上 ,从 计算 机 产生 开始 ,人 们 就 一 直 在 研究 和 开发 操作 系统 ,并 将 “容错 计算 ” 取 
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得 的 成 果 应 用 于 操作 系统 。 从 20 世纪 50 年 代 中 期 出 现 的 第 一 个 简单 的 批 处 理 系统 ,到 
20 世纪 60 年 代 中 期 出 现 的 多 道 程序 批 处 理 系统 ,以 及 此 后 的 基于 多 道 程 序 的 分 时 系统 ， 
甚至 再 后 来 的 实时 系统 和 分 布 式 操作 系统 ,仅仅 靠 “ 容 错 技术 ”并 不 能 完全 解决 操作 系统 
对 共享 资源 的 安全 访问 问题 。 

1967 年 ,计算 机 资源 共享 系统 的 安全 控制 问题 引起 了 美国 国防 部 的 高 度 重视 ,国防 
科学 部 (Defense Science Board) 旗 下 计算 机 安全 任务 组 (Task Force on Computer 
Security) 的 组 建 , 拉 开 了 操作 系统 安全 研究 的 序幕 。1972 年 ,在 美国 空军 的 一 项 计算 机 
安全 规划 的 研究 成 果 中 ,提出 了 引用 监控 器 (Reference Monitor)、 验 证 机 制 (Reference 
Validation Mechanism) ,安全 内 核 (Security Kernel) 和 安全 建 模 (Modeling) 等 思想 ,形成 
了 对 Trusted 问题 的 研究 。 在 探索 如 何 研 制 安全 计算 机 系统 的 同时 ,人 们 也 在 研究 如 何 
建立 评价 标准 ,衡量 计算 机 系统 的 安全 性 。1983 年 ,美国 国防 部 颁布 了 历史 上 第 一 个 计 
算 机 安全 评价 标准 ,这 就 是 著名 的 可 信 计 算 机 系统 评价 标准 ,简称 TCSEC, 又 称 橙 皮 书 。 
1985 年 ,美国 国防 部 对 TCSEC 进行 了 修订 。TCSEC 标准 是 在 基于 安全 核 技术 的 安全 操 
作 系统 研 究 的 基础 上 制定 出 来 的 ,标准 中 使 用 的 可 信 计 算 基 (Trusted Computing Base， 
TCB) 就 是 安全 核 研究 成 果 的 表现 ,与 当前 的 Trusted Computing 有 极 大 的 联系 。 


3 网 络 安 全 阶段 

随 着 网 络 技术 的 不 断 发 展 和 因特网 的 日 益 普 及 ,人 们 对 网 络 的 依赖 也 越 来 越 强 ,互联 
网 已 经 成 为 人 们 生活 的 一 个 部 分 。 然 而 ,因特网 是 一 个 面向 大 众 的 开放 系统 ,对 于 信息 的 
保密 和 系统 安全 考虑 不 完善 。 

从 技术 角度 来 说 ,保护 网 络 的 安全 包括 两 个 方面 的 技术 内 容 : 

(1) 开发 各 种 网 络 安全 应 用 系统 ,包括 身份 认证 ,授权 和 访问 控制 .PKI/PMI、IPSec、 
电子 邮件 安全 、Web 与 电子 商务 安全 防火墙 \VPN ,安全 扫描 、 入 侵 检测 、 安 全 审计 、 网 络 
病毒 防范 、 应 急 响 应 以 及 信息 过 滤 技 术 等 ,这 些 系 统一 般 可 独立 运用 运行 于 网 络 平台 
a 

(2) 将 各 种 与 网 络 安全 相关 的 组 件 或 系统 组 成 网 络 可 信 基 (Network TCB) ,内 榜 在 
网 络 平台 中 , 受 网 络 平台 保护 ,与 TCB 受 OS 保护 类 似 。 从 这 两 方面 的 技术 发 展 来 看 ,前 
者 得 到 了 产业 界 的 广泛 支持 ,并 成 为 主流 的 网 络 安全 解决 方案 。 后 者 得 到 学 术 界 的 广泛 
重视 ,学 术 界 还 对 "可 信 系 统 (Trusted System)” 和 “可 信 组 件 (Trusted Component) ”进行 
了 广泛 的 研究 。1987 年 ,美国 国家 计算 机 安全 中 心 提 出 的 可 信和 网 络 解释 CTNI1987) 就 是 
这 一 技术 的 标志 性 成 果 。 

当前 大 部 分 信息 安全 系统 主要 是 由 防火 墙 `, 人 侵 检测 和 病毒 防范 等 组 成 。“ 堵 漏洞 、 
做 高 墙 、 防 外 攻 ”, 但 安全 问题 防不胜防 。 当 前 网 络 安全 措施 存在 的 两 个 缺陷 : 一 是 只 防 
外 不 防 内 ;二 是 忽略 了 对 终端 的 保护 。 终 端 往往 是 创建 和 存放 重要 数据 的 场所 , 绝 大 部 分 
攻击 事件 都 是 从 终端 发 起 的 ,仅仅 靠 第 一 种 技术 进行 “ 防 . 堵 . 卡 ” 解 决 不 了 问题 。“ 可 信 计 
算 ” 的 主要 目的 之 一 就 是 为 了 解决 “终端 可 信 ”, 可 信 计 算 本 身 并 不 是 什么 新 技术 、 新 思想 ， 
只 是 对 TCB(NTCB) 进 行 了 扩展 ,将 密码 技术 融入 TCB(NTCB) 中 ,其 实质 是 第 二 种 技术 
的 扩展 和 延伸 。 
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11.12 可 信 计 算 组 织 TOG 


1999 年 10 月 ,HP、IBM、Intel 和 Microsoft 等 公司 牵头 成 立 了 国际 可 信 计 算 平 台 联 
盟 TCPA(Trusted Computing Platform Alliance) ,专注 于 从 计算 平台 体系 结构 上 增强 其 
安全 性 ,2001 年 1 月 发 布 了 TPM 主 规范 (vl. 1)。2003 年 3 月 ,TCPA 改组 为 TCG 
(Trusted Computing Group) ,发 展 成 员 约 100 家 ,同年 推出 了 TPM 规范 (v1. 2)。TCG 
的 使 命 是 为 跨 多 平台 的 可 信 计 算 构 造 模块 及 软件 接口 开发 并 推动 开放 、 厂 商 中 立 的 、 业 界 
标准 。 图 11-1 是 TCG 的 文档 路 线 图 。 


Document Roadmap 


TCG Documentation Architectural 
Roadmap &Glossary Overview 


Porm Seeite | [Tested Piao oune We 
Writers Guide Or Profiles 
| Normative Reference 
Common 
PE Platform | | PDA Platform | [ Cellular Plattorm || other | Criterin 
Specification Specification Specification Platform 2 


PC Platform | | PDA Platform | | Cellular Platform Other Comimon 
Conf Conf e | | Confe s | | cai | Evaluation 
2 Ce ny Onormance] | Methodology 


ISO-15408 Common Criteria Protection Profiles 


图 11-1 TCG 的 文档 路 线 图 


TCG 将 发 布 一 些 规范 ,定义 体系 结构 、 功 能 和 接口 ,为 各 种 计算 平台 的 实现 提供 准 
则 。 此 外 ,TCG 将 发 布 一 些 规范 ,描述 特定 平台 的 实现 。 如 PC、PDA 、 手 机 和 其 他 计算 设 
备 。 基 于 TCG 规范 实现 的 平台 要 求 满足 功能 性 和 可 靠 性 标准 ,以 增加 信任 保证 度 。 
TCG 将 发 布 评估 标准 和 专用 平台 框架 (platform specific profiles) ,以 用 作 通 用 的 衡量 工 
具 评 估 实 施 TCG 技术 的 设备 。 要 达到 提高 信任 度 的 目的 ,还 要 求 部 署 后 的 维护 进程 具 
有 操作 完整 性 。TCG 推荐 一 些 惯 例 和 程序 以 维护 部 署 后 的 平台 信任 度 。 

TCG 技术 委员 会 下 最 早 设立 了 许多 工作 组 , 随 着 新 技术 的 出 现 ,又 逐步 增加 了 
一 些 工 作 组 (如 虚拟 平台 工作 组 和 可 信 多 租户 基础 设施 工作 组 ) ,如 图 11-2 所 示 , 主 
要 包括 : 

(1) 基础 设施 工作 组 (Infrastructure Work Group) 致力 于 在 因特网 及 企业 基础 设 
施 中 对 符合 TCG 特定 平台 规范 的 可 信 平 台 进行 集成 ,在 混合 的 环境 下 实现 各 种 商业 模 
式 。 根 据 现 有 的 因特网 及 相关 基础 设施 标准 对 信任 决策 信息 进行 规范 化 的 表示 与 交换 。 
对 平台 信任 根 、 信 任 链 、 密 钥 生 存 期 服务 进行 研究 ,用 适当 的 方式 表示 它们 与 所 有 者 策略 
之 间 的 关系 。 工 作 组 致力 于 建立 一 个 体系 结构 框架 、 接 口 .元 数据 弥补 基础 设施 之 间 的 
差距 。 
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Virtualized Platform 


Compliance 


图 11-2 TCG 的 组 织 结构 


(2) 可 信 网 连接 工作 组 (Trusted Network Connection Work Group) 定义 并 发 布 了 
一 个 开放 的 体系 结构 ,以 及 一 系列 终端 完整 性 标准 。TNC 体系 结构 可 以 允许 网 络 操作 人 
员 在 网 络 连接 时 或 之 后 实施 策略 。 标 准 使 得 各 种 终端 结 点 .网络 技 术 .策略 之 间 可 以 相互 
交互 。 

(3) 移动 电话 工作 组 (Mobile Phone Work Group) “致力 于 在 移动 设备 中 采纳 TCG 
的 概念 ,在 开放 的 终端 平台 上 实现 不 同 商业 模式 。 工 作 组 将 根据 移动 设备 的 特点 ,如 它们 
的 连接 性 和 有 限 分 析 能 力 , 对 各 种 使 用 场景 进行 分 析 ,描述 在 TCG 技术 下 移动 设备 的 增 
值 服务 。 

(4) PC 客户 端 工作 组 (PC Client Work Group) ”将 给 出 基于 TCG 技术 建立 信任 根 
的 PC 客户 机 的 一 般 功 能 .接口 及 最 小 的 安全 及 私密 性 需求 集合 。 工 作 组 将 以 一 个 建议 
者 的 角色 ,为 TPM 工作 组 及 其 他 TCG 工作 组 提供 有 关 与 它们 工作 相关 的 体系 结构 及 设 
计 问 题 方面 的 信息 。 

(5) 一 致 性 工作 组 (Conformance Work Group) 工作 组 将 开发 适当 的 规范 及 文档 ， 
便于 定义 保护 轮廓 及 其 他 需要 的 评估 准则 。 可 能 包括 对 TCG 组 件 及 规范 的 评估 方法 。 
工作 组 也 会 提供 功能 性 规范 。 

(6) 硬 拷贝 工作 组 (Hardcopy Work Group) 工作 组 将 为 使 用 TCG 组 件 建 立信 任 根 
的 硬 拷 贝 系统 组 件 定义 开放 的 、 厂 商 中 立 的 规范 。 其 中 会 包含 硬 拷贝 组 件 最 小 的 功能 \ 接 
口 .私密 性 需求 集合 。 还 将 进一步 满足 扩展 性 、 所 有 者 控制 . 互 操作 性 方面 的 需求 。 
HCWG 是 一 个 独立 的 工作 组 ,而 不 是 外 设 工作 组 的 子 工作 组 。 硬 拷贝 工作 组 包括 一 个 复 
杂 的 组 件 集合 ,不 限制 于 传统 的 直 连 打印 设备 。 工 作 组 将 从 完整 系统 的 角度 定义 这 些 组 
件 的 规范 。 

(7) 外 设 工作 组 (Peripherals Work Group) 计算 平台 的 可 信 性 部 分 依赖 于 连接 到 平 
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台 上 的 外 设 是 否 可 信 。 外 设 工作 组 的 目的 就 是 标记 出 与 信任 相关 的 外 设 属性 ,并 分 析 外 
设 操 作 的 各 种 环境 (包括 使 用 场景 及 威胁 模型 ) 以 便 更 好 地 理解 外 设 在 整个 多 组 件 可 信 平 
台中 的 角色 及 影响 。 工 作 组 处 理 的 是 所 有 外 设 的 共性 问题 。 

(8) 服务 器 规范 工作 组 (Server Specific Workgroup) ”服务 器 规范 工作 组 的 目的 是 为 
在 服务 器 上 实现 TCG 技术 提供 定义 .规范 .指南 及 技术 需求 。 工 作 组 将 努力 形成 一 个 符 
合 当 前 API 的 规范 ,并 进一步 实现 当前 的 TCG 基础 设施 。 

(9) TPM 软件 栈 工作 组 (TPM Software Stack Work Group) TSS 工作 组 的 目的 是 
为 希望 使 用 TPM 的 应 用 程序 开发 商 提供 标准 的 API 集合 。 工 作 组 将 产生 一 个 中 立 于 厂 
商 的 规范 ,将 硬件 的 区 别 进行 抽象 ,使 应 用 程序 可 以 在 各 种 硬件 ,操作 系统 、 使 用 环境 之 上 
执行 。TSS 也 将 定义 应 用 程序 与 进行 本 地 或 远程 TPM 的 交互 接口 。 

(10) 存储 工作 组 (Storage Work Group) 存储 工作 组 将 基于 已 有 的 TCG 技术 及 思 
想 进 行 工 作 ,致力 于 开发 专 有 存储 系统 上 的 安全 服务 标准 。 工 作 组 的 一 个 目标 是 开发 标 
准 与 惯例 ,使 得 能 够 在 不 同 的 专 有 存储 控制 器 接口 (如 ATA、 Serial ATA、SCSI、 
FibreChannel, USB Storage, IEEE 1394、 Network Attached Storage (TCP/IP)., and 
iSCSIT) 之 上 定义 相同 的 安全 服务 。 存 储 系统 包括 磁盘 驱动 器 .可 移 除 介质 驱动 器 .闪存 及 
多 种 存储 设备 系统 。 作 为 TCG 与 其 他 存储 业界 标准 工作 组 的 联络 员 , 对 接口 标准 进行 
审查 ,以 推动 TCG 技术 的 采纳 。 与 其 他 标准 组 的 联络 会 征 得 技术 委员 会 的 同意 。 

(11) TPM 工作 组 (TPM Work Group) ”TPM 工作 组 的 任务 就 是 要 产生 可 信 平 台 模 
块 规范 。 对 TPM 体系 结构 的 定义 来 自 TC,TPM 工作 组 定义 了 体系 结构 的 实现 。 工 作 
组 成 员 需 要 具有 与 设计 及 使 用 密码 模块 相关 的 安全 知识 ,例如 公 钥 密码 、 密 码 算法 及 
协议 。 

(12) 虚拟 平台 工作 (Virtualization Platform Work Group) 成立 于 2007 年 ,为 应 对 
虚拟 化 技术 在 业内 的 广泛 应 用 而 成 立 。 该 工作 组 的 目标 致力 于 推广 可 信 计 算 技术 在 虚拟 
化 领域 的 应 用 。 工 作 组 需要 保证 不 修改 现 有 使 用 TPM 应 用 程序 或 者 软件 ,保证 在 虚拟 
化 平台 中 该 应 用 程序 或 者 软件 仍然 可 以 使 用 可 信 计 算 服 务 。 同 时 也 需要 不 修改 现在 的 
TPM 接口 命令 和 TPM 内 部 指令 保证 TPM 可 以 为 上 层 提 供 TPM 的 功能 。 针 对 虚拟 化 
技术 和 可 信 计 算 技 术 的 相 结 合 , 该 工作 组 的 工作 重点 在 于 : 保证 可 信 计 算 中 信任 关系 的 
传递 在 虚拟 平台 可 以 有 足够 的 保证 ;保证 可 信和 属性 满足 的 情况 下 虚拟 机 可 以 在 不 同 的 平 
台 之 间 自 由 迁移 。 

(13) 可 信 多 租户 基础 设施 工作 组 (Trusted Multi-tenant Infrastructure Work Group) 

成 立 于 2010 年 ,为 应 对 多 租户 云 计算 技术 在 业内 的 广泛 应 用 而 成 立 。 该 工作 组 的 目标 
致力 于 开发 一 个 标准 框架 ,为 实际 部 署 可 信 云 或 可 信 共 享 设 施 定义 端 到 端的 参考 模型 ,以 
实现 共享 的 基础 设施 ,多 提供 商 的 基础 设施 ,参考 模型 和 实现 指导 、 鉴 定 和 消除 现 有 标准 
间 的 差异 等 。 

另外 ,TCG 组 织 为 TCG 技术 制定 的 基本 原则 是 : 

。 安全 性 原则 ”实现 TCG 技术 的 组 件 应 该 对 关键 的 安全 数据 实施 受 控 的 访问 ,应 

该 可 靠 地 度量 并 报告 系统 的 安全 属性 ,报告 机 制 应 该 在 所 有 者 的 完全 控制 之 下 。 
。 私密 性 原则 ”设计 实现 TCG 组 件 时 应 该 注意 保护 私密 性 。 
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。 可 互 操作 性 原则 ”TCG 规范 实现 及 部 署 应 该 有 利于 互 操作 性 的 实现 , 除 因 安全 
性 带 来 的 问题 外 ,不 应 该 引入 可 互 操作 性 障碍 。 
。 数据 的 可 移植 性 原则 ”TCG 技术 的 实施 应 该 支持 已 建立 的 数据 所 有 权 原 则 及 
惯例 。 
。 可 控 性 原则 每 个 所 有 者 都 应 该 能 够 有 效 选择 并 控制 属于 他 们 的 TCG 功能 的 使 
用 及 操作 ,在 不 违反 所 有 者 策略 的 前 提 下 任何 用 户 都 应 该 能 够 禁用 TCG 功能 。 
。 易 用 性 原则 ” 非 技术 用 户 也 应 该 可 以 理解 并 使 用 TCG 功能 。 
最 后 ,将 介绍 TCG 标准 规范 针对 的 应 用 场景 ,主要 包括 : 
。 风险 管理 。 风 险 管理 的 目标 是 最 小 化 恶意 的 .意外 损失 或 泄露 给 团体 和 个 人 财产 
带 来 的 风险 。 风 险 管理 过 程 帮助 估计 和 减轻 风险 ,风险 管理 的 一 个 元 素 是 脆弱 性 
评估 ,财产 所 有 者 希望 了 解 保护 他 们 财产 所 实施 的 技术 和 认识 这 些 保护 机 制 有 关 
的 脆弱 性 。TCG 技术 用 于 减少 信息 资产 的 风险 ,例如 受 保护 的 存储 。 受 保护 的 
存储 用 于 保护 容易 受到 威胁 的 公开 密 钥 、 私 有 密 钥 和 对 称 密 钥 ,因为 对 它们 的 访 
问 意味 着 对 更 大 范围 信息 的 访问 。 因 为 受 保护 的 存储 是 一 个 实现 于 一 个 隔离 子 
系统 中 的 机 制 , 所 以 密码 将 更 不 容易 受到 攻击 。 
为 了 减 小 风险 ,信息 管理 者 自然 希望 保护 信息 ,方法 是 通过 加 密 Hash 算法 检测 完整 
性 损失 ,通过 公开 和 秘密 密 钥 阻 止 未 授权 的 泄密 和 通过 数字 签名 鉴别 传递 的 信息 。TCG 
受 保护 的 存储 机 制 驻 留 在 硬件 ,于 是 可 用 于 保护 密 钥 、 秘 密 和 Hash 值 。 当 信息 资产 以 这 
种 方式 受到 保护 时 ,脆弱 性 因素 (在 计算 损失 预期 值 时 使 用 ) 会 减 小 。TCG 系统 遵循 
ISO 一 15408 评估 和 认证 准则 , 它 又 使 信息 管理 者 保证 了 TCG 机 制 的 正确 实现 。 
。 资产 管理 。 资 产 管理 希望 阻止 偷窃 和 未 授权 的 使 用 计算 资产 。 资 产 追 踪 是 一 种 
有 效 的 工具 , 它 可 以 达到 资产 管理 目标 。 制 造 TCG 定义 的 可 信 平 台 模块 (TPM) 
可 以 使 平台 的 所 有 者 由 资产 管理 者 生成 ,同时 允许 用 户 执 行 任务 功能 。 由 所 有 者 
控制 ,TPM 可 用 于 创建 和 保护 系统 的 一 种 身份 不 会 被 无 意 地 物理 性 删除 或 取代 。 
资产 数据 库 可 以 使 用 这 个 身份 更 加 可 靠 地 与 平台 的 资产 信息 关联 起 来 。 如 果 某 
个 资产 被 窃取 ,窃取 人 不 能 访问 信息 资产 ,因此 不 能 从 消耗 或 经 手 窃 取 的 信息 中 
获 利 。 
。 电子 商务 。 在 电子 商务 交易 中 消费 者 的 诚信 和 投资 商 的 信任 度 是 非常 重要 的 因 
素 。 当 交易 顺利 并 且 消 费 者 的 选择 被 精确 地 反映 出 来 时 ,投资 商 建立 了 部 分 信 
任 。 当 消费 者 能 记 住 前 一 次 与 投资 商 成 功 在 线 交 易 的 情形 ,反复 的 商业 行为 和 诚 
信和 就 可 体现 出 来 。TCG 技术 使 平台 具有 定义 电子 商务 上 下 文 的 能 力 , 消 费 者 和 
投资 商 可 以 建立 一 种 基于 信息 交换 的 关系 。 消 费 者 能 控制 选择 权 , 这 对 消费 者 和 
投资 商都 很 重要 。 如 果 是 消费 者 的 要 求 ,投资 商 能 够 识别 反复 的 消费 者 并 信任 这 
个 受 管理 消费 者 的 选择 ,方法 是 动态 验证 其 上 下 文 关系 。TPM 能 报告 平台 的 配 
置信 息 ,这 可 用 于 定义 消费 者 关系 上 下 文 。 这 个 报告 是 加 密 可 验证 的 ,使 双方 都 
有 机 会 保证 电子 商务 交易 行为 出 现在 以 前 建立 的 关系 上 下 文 。 
。 安全 检测 和 应 急 响 应 。IT 管理 者 花费 了 大 量 的 时 间 响 应 病毒 攻击 和 威胁 。 应 急 
响应 部 门 必 须 最 快 地 做 出 反应 ,去 隔离 和 防御 易 受 攻击 的 系统 。 经 常 要 求 他 们 查 
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看 所 有 企业 连接 的 系统 配置 和 设置 ,以 决策 哪个 系统 需要 更 新 。 一 个 TPM 用 于 
确保 每 个 计算 机 以 一 种 可 信赖 的 方式 报告 它 的 配置 参数 。 增 加 的 平台 导入 进程 
使 TPM 可 以 检测 系统 中 的 每 个 组 件 ( 硬 件 和 软件 ) ,并且 安全 性 地 保存 TPM 中 
的 PCR(Platform Configuration Registers) 检 测 结 果 。 应 急 响 应 人 员 可 以 使 用 这 
些 检测 结果 判定 哪个 计算 机 容易 受 病毒 攻击 。IT 管理 者 可 以 使 用 TPM 中 的 
PCR 值 安装 系统 进程 ,以 识别 系统 启动 时 的 不 安全 配置 ,因此 预防 了 无 意 间 以 一 
种 不 安全 方式 形成 的 网 络 连接 。 


1113 国内 外 可 信 计 算 技术 发 展 


微软 ,IntelIBM HP 是 对 国际 IT 界 具 有 举足轻重 影响 的 几 大 厂商 ,它们 也 都 是 
TCG 组 织 的 发 起 成 员 ,这 些 公 司 在 可 信 计 算 领 域 的 举动 代表 着 可 信 计 算 技 术 发 展 的 趋 
势 。 对 于 这 几 大 厂商 ,有 一 个 比较 固定 的 说 法 就 是 在 可 信 计 算 领 域 ,Intel 做 硬件 ,微软 做 
操作 系统 ,IBM 与 HP 做 系统 。 从 下 面 提供 的 材料 也 可 以 看 到 这 种 趋势 。 


1 微软 的 下 一 代 安 全 计算 基 (NGSCB) 

鉴于 微软 在 当前 操作 系统 领域 不 可 替代 的 作用 ,所 以 微软 的 NGSCB 受到 了 广泛 的 
关注 。 微 软 对 NGSCB 的 介绍 是 : 通过 与 硬件 相 结 合 , 提 供 强 进程 隔离 .封装 存储 、 到 用 
户 的 可 信和 路 径 、 证 实 机 制 。 它 有 一 个 与 主 操作 系统 相隔 离 的 Nexus, NGSCB 增强 应 用 
在 它 的 基础 上 执行 。 微 软 一 直 声 称 ,在 以 Longhorn 为 代号 的 下 一 代 微 软 操作 系统 开发 
代码 中 ,将 加 入 NGSCB 技术 。Longhorn 的 推出 一 再 推迟 ,使 人 们 对 NGSCB 打上 了 
问号 。 

Windows Vista 设计 中 的 一 个 重要 思路 为 全 方位 的 完整 安全 管理 体系 ,这 就 意味 着 
这 种 安全 保护 不 仅仅 是 用 户 级 的 ,这 里 的 “安全 ?还 包括 对 数字 版 权 管理 (CDRM) ,内 置 了 
对 音乐 和 电影 的 复制 保护 机 制 。 安 装 了 Vista 的 系统 开机 后 ,首先 启动 的 是 TPM, 它 是 
主板 上 密码 算法 芯片 中 内 置 的 固件 。PC 一 旦 加 电 ,TPM 芯片 就 会 立即 检查 BIOS 和 相 
关 硬 件 , 利 用 哈 希 算法 为 平台 配置 寄存 器 (PCR) 中 的 各 个 硬件 组 件 计算 安全 缓存 容量 。 
TPM 还 会 检测 系统 ROM ,硬件 驱动 的 主 引导 记录 (MBR) 以 及 分 区 表 , 将 它们 的 哈 希 值 
存储 在 TPM 的 PCRs 中 。 这 些 值 将 会 和 上 次 启动 记录 的 值 进行 比较 ,如 果 结 果 产 生 矛 
盾 ,TPM 就 不 允许 对 系统 分 区 进行 访问 ;如 果 比 较 后 通过 ,TPM 将 允许 启动 过 程 继续 进 
行 。 接 下 来 , 主 引导 记录 (MBR) 会 控制 启动 进程 ,其 指定 活动 分 区 ,加 载 首 个 扁 区 到 系统 
内 存 中 ,之 后 由 启动 扇 区 控制 。 更 严格 的 安全 性 ,如 安全 启动 加 密 整 个 系统 分 区 。 


2 Int 的 LaGande 

Intel 的 LaGrande 计划 是 通过 硬件 实现 受 保护 的 执行 环境 .封装 存储 .远程 平 台 证 
实 、 受 保护 的 IO 保护 。 另 外 ,为 了 配合 Intel 的 硬件 结构 ,Intel VT(Intel Virtualization 
Technology) 技 术 也 在 研发 之 中 。 具 有 VT 技术 的 平台 可 以 同时 在 不 同 分 区 中 运行 多 个 
OS 及 应 用 程序 ,而 不 相互 影响 ,虽然 现在 也 有 基于 软件 的 虚拟 平台 技术 ,但 基于 硬件 的 
虚拟 化 技术 的 可 靠 性 及 性 能 更 高 。 在 服务 器 方面 ,将 不 同 的 应 用 在 不 同 的 相互 不 受 干扰 
的 OS 中 同时 运行 ,可 以 大 大 加 强 安全 性 。 在 客户 机 方面 ,使 用 了 虚拟 化 技术 ,也 可 以 加 
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强 对 病毒 及 木马 的 防护 。 


3. IBM 的 可 信 计 算 技 术 

IBM 针对 可 信 计 算 的 策略 是 服务 器 、 服 务 和 以 开源 为 中 心 。TCG 的 TPM 实际 上 是 
就 是 从 安全 协 处 理 器 的 基础 上 发 展 起 来 的 ,IBM4758 是 很 早 就 出 现 的 一 款 功 能 强大 的 密 
码 协 处 理 器 。TCG 的 TPM 出 现 后 ,IBM 公司 在 IBM4758 及 Linux 操作 系统 的 基础 上 ， 
对 TCG 的 可 信 平 台 技 术 , 包 括 可 信 引 导 、 完 整 性 度量 .完整 性 保护 .完整 性 证 实 、 安 全 域 
进行 了 大 量 的 试验 性 工作 。 从 tcgLinux、 可 信 Linux 客户 端 `TPM 在 企业 安全 中 的 角色 
等 项 目 或 文章 中 ,可 以 得 到 很 大 的 启发 。 

另外 ,在 从 TCG 规范 中 可 以 看 到 TCG 组 织 对 私密 性 的 关注 ,如 DAA 协议 (直接 匿 
名 证 实 协议 ) 就 是 来 自 IBM 的 研究 成 果 。IBM 目前 还 有 很 多 关于 私密 性 的 研究 项 目 , 包 
括 IDEMIX( 标 识 混合 ) .EPA( 企 业 私密 性 体系 结构 )、RFID( 射 频 识别 )、.EPAL( 企 业 私密 
性 标识 语言 百 ) 等 。 


4 HP 的 可 信 计 算 技 术 
P 公司 在 可 信 计 算 方面 的 思路 与 IBM 比较 相似 ,也 致力 于 在 开放 的 操作 系统 平台 
上 发 展 可 信 计 算 技 术 ,建立 可 信 的 基础 设施 。 在 HP 的 一 份 名 为 “作为 整体 安全 框架 要 素 
之 一 的 开放 可 信 计 算 ” 报 告 中 ,指出 了 在 可 信 计 算 方 面 的 应 该 进行 的 研究 工作 : 涉及 开源 
的 OS 对 可 信 计 算 的 支持 ,采用 新 CPU 特性 及 虚拟 化 技术 的 最 小 化 可 信 计 算 机 的 新 的 操 
作 系 统 概 念 ,支持 特定 服务 的 最 小 化 操作 系统 映 象 ,具有 无 干扰 性 及 策略 控制 信息 流 性 质 
隔离 的 执行 环境 ,基于 可 靠 策略 隔离 的 系统 组 件 ,执行 环境 于 操作 系统 间 的 相互 无 干扰 ， 
基于 策略 的 运行 环境 配置 与 管理 ,应 用 程序 行为 的 实时 监控 。 
在 HP 正在 进行 的 研究 中 ,与 可 信 计 算 相关 的 内 容 包括 安全 虚拟 化 技术 ,将 TCG 信 
任 链 及 信任 根 的 概念 扩展 到 更 广 的 基础 设施 组 件 、 允 许 第 三 方 远程 信任 系统 后 系统 行为 
的 援救 .可 信 Linux( 限 制 可 信和 网 络 间 不 同 域 机 器 间 的 交互 , 减 小 安全 边界 管理 的 复杂 
性 ) .信息 流 控制 (隐蔽 信息 流 分 析 、 策 略 执行 框架 、 各 层次 可 信 组 件 间 的 集成 )、 企 业 私密 
性 增强 中 间 件 (私密 性 策略 实施 、 义 务 管理 .审计 域 可 追究 性 ) 、 私 密 性 保护 计算 、 边 界 管理 
(如 何在 更 有 效 的 边界 管理 控制 的 基础 上 提供 更 灵活 的 跨 边界 访问 ) 信任 管理 (硬件 安全 
器 件 ,数字 产权 管理 ) 。 
尽管 目前 许多 关键 信息 产品 和 信息 安全 尖端 技术 掌握 在 外 国 公司 手中 ,但 在 可 信 计 
算 这 个 领域 我 们 却 有 着 可 以 突破 的 空间 。2005 年 1 月 ,我 国信 息 安 全 标准 化 技术 委员 会 
组 织 成 立 可 信 计 算 工作 小 组 ,主要 致力 于 国际 可 信 计 算 标 准 的 跟踪 研究 和 提出 我 国 可 信 
ger 并 定期 与 TCG 交流 。 瑞 达 、 联 想 、 浪 潮 、 华 为 等 厂商 先后 跻身 TCG 
组 织 、 积 极 参与 国际 交流 ,研发 方面 也 有 不 逊色 于 国外 的 突出 表现 ,如 兆 日 、 瑞 达 、 联 想 相 
继 推 出 了 国产 TPM 芯片 。 同 时 ,国内 的 一 些 大 学 和 机 构 , 如 北京 工业 大 学 .中 国 科 学 院 
软件 研究 所 、 国 防 科技 大 学 .武汉 大 学 ,北京 交通 大 学 .北京 大 学 等 也 积极 从 事 相关 研究 和 
开发 。 
自主 创新 的 可 信 计 算 平 台 作 为 国家 信息 安全 基础 建设 的 重要 组 成 部 分 ,实质 上 是 国 
家 主权 的 一 部 分 。 只 有 把 握 关键 技术 、 掌 握 信息 安全 制高点 才能 摆脱 牵制 ,提升 我 国 整个 
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信息 安全 的 核心 竞争 力 。 正 是 在 此 共识 下 .由 国家 密码 管理 局 组 织 协调 ,联想 、 同 方 、 方 
正 \ 长 城 .中 兴 、 华 为 .软件 所 、 国 防 科技 大 学 等 13 家 国内 民族 IT 企业 和 重要 科研 院 所 相 
继 加 入 到 可 信 计 算 产 品 的 研发 项 目 中 。2006 年 8 月 和 2007 年 2 月 国家 密码 管理 局 先后 
研制 完成 了 《可 信 计 算 平台 密码 方案 ) 和 《可 信 计 算 平台 密码 技术 规范 》( 简 称 TCM 系列 
标准 )。 在 此 规范 基础 上 ,民族 IT 企业 和 科研 机 构 投 入 了 大 量 的 研发 力量 ,攻克 技术 难 
关 , 最 终 成 功 自主 研发 了 可 信 计 算 密 码 模块 TCM 芯片 和 相关 产品 ,如 以 联想 、 同 方 、 方 
正 \ 瑞 达 为 代表 的 可 信 计 算 专 项 组 成 员 企业 都 相继 推出 了 基于 TCM 安全 芯片 的 可 信 
PC。 作 为 构建 平台 安全 的 信任 根 ,可 信和 密码 模块 TCM 芯片 被 誉 为 "中国 可 信 计 算 的 安全 
DNA”, 将 为 我 国 可 信 计 算 的 发 展 方向 和 广泛 应 用 起 到 基础 性 的 引导 和 促进 作用 。 
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1121 可 信 平 台 模 块 TPM 
下 面 先 将 常用 的 TPM 相关 概念 进行 解释 。 


1. PORPatform Corfiguration Register) 

TPM 中 使 用 平台 配置 寄存 器 (PCR) 保 存 完整 性 度量 值 , TPM 最 少 包含 16 个 PCR 
寄存 器 ,所 有 的 PCR 寄存 器 都 含有 屏蔽 标志 位 。PCR 用 来 在 寄存 器 中 存放 度量 值 , 它 通 
过 使 用 密码 Hash 算法 并 对 PCR 寄存 器 值 进行 更 新 实现 。 


2 EK(Endorsement Key) 和 平台 凭证 

TPM 内 部 有 唯一 的 标识 TPM 的 凭证 密 钥 EK., 它 是 一 个 2048 位 的 公私 钥 对 , 私 钥 
永久 性 保存 在 TPM 内 部 ,并 且 禁 止 在 外 部 使 用 。 对 于 一 个 可 信和 平台 而 言 ,EK 是 唯一 的 ， 
并 且 一 直 受 TPM 保护 , 它 是 TPM 受信 任 的 基础 ,签注 证 书 可 以 验证 EK。 在 TPM 内 部 
存储 了 三 种 证 书 : 签注 证 书 (Endorsement Cert) .平台 证 书 (Platform Cert) 和 一 致 性 证 书 
(Conformance Cert) 。 签 注 证 书 存放 了 是 EK 的 公 钥 部 分 ,用 于 证 明和 平台 的 真实 性 ;平台 
证 书 由 平台 的 生产 厂商 提供 ,用 来 证 明 平台 的 安全 组 件 的 真实 ;一 致 性 证 书 由 生产 厂商 或 
评估 实验 室 提 供 , 通 过 一 个 授权 方 对 平台 的 安全 特性 提供 证 明 。 


3 AKAtestaion Identity Key) 

身份 证 明 密 钥 AIK 用 来 向 服务 提供 者 证 明 平台 身份 , 它 是 由 TPM 生成 的 一 个 
2048 位 的 专用 公私 钥 对 ,对 应 的 证 书 是 AIK 凭证 。AIK 凭证 是 由 Privacy CA 颁发 的 ， 
用 来 证 明 平台 身份 和 平台 运行 状态 的 。 用 户 平台 远程 证 明 时 ,TPM 使 用 AIK 私 钥 对 其 
内 部 的 PCR 寄存 器 进行 签名 ,然后 通过 可 信和 信道 将 证 明 数 据 传送 给 远程 依赖 方 进行 
验证 。 

1) TPM 功能 

TPM 是 可 信 计 算 平台 的 核心 部 件 ,主要 提供 如 下 功能 : 

。 利用 随机 数 发 生 器 提供 非 对 称 密 钥 对 生成 功能 ; 
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。 保存 非 对 称 密 钥 和 对 称 密 钥 ,并 在 其 内 部 完成 加 密 封装、 签名 等 功能 ; 

。 在 PCR 中 存储 配置 信息 的 哈 硕 值 ,以 确保 平台 的 完整 性 并 提供 远程 校 验 功能 ; 

。 存储 平台 证 书 (Endorsement Credential) ,并 在 远程 验证 时 用 该 证 书 ; 

。 申请 身份 证 书 (Identity Credential) ,从 而 保证 平台 身份 的 私 隐 性 ; 

。 初始 化 和 管理 功能 ,使 用 户 有 能 力 配 置 功 能 、 复 位 芯片 和 保持 权限 。 

TPM 的 实现 可 能 在 硬件 或 软件 上 完成 ,实现 细节 由 特定 平台 规范 文档 (Platform 
Specific Specification documentation ) 给 出 。 规 范 虽 然 给 出 了 TPM 规范 的 硬件 解释 模 
型 ,但 是 由 于 很 抽象 ,所 以 并 不 排除 软件 实现 。 如 图 11-3 所 示 的 TPM 结构 图 是 支持 
RTR 和 RTS 功能 的 TPM 构件 。 作 为 可 信 平 台 的 一 个 构件 ,TPM 组 件 能 正确 地 操作 而 
没有 下 忽 是 可 信 的 。 这 些 组 件 的 可 信 来 自 良 好 的 工程 实践 .生成 过 程 和 仔细 的 检查 。 工 
程 实践 和 仔细 的 检查 包含 在 通用 准则 (Common Criteria,CC) 标 准 中 。 


Platform 
Configuration 
Register(PCR) 


Nov Volatile 


Storage 


Communications 
TO 


Re SHA-I| Key | RsA | 。 | Exec 
Generator || Engine || Generation | Engine EE Engine 


Trusted Platform Module(TPM) 


图 11-3 可 信 平 台 模 块 结构 示意 图 


2) TPM 结构 
下 面 是 可 信 平 台 模 块 中 的 各 个 独立 的 组 件 。 


输入 输出 (MO) : 1/O 组 件 管理 通信 总 线 上 的 信息 流 。 它 执行 适合 外 部 和 内 部 总 

线 通 信 的 协议 编码 /j 解码 , 它 传 送 消 息 给 适当 的 组 件 。I/O 实施 与 Opt-In 组 件 

相关 的 访问 策略 ,其 他 TPM 功能 也 需要 访问 控制 。 

不 可 变 存 储 (Non-Volatile Storage): 不 可 变 存储 用 于 保存 EK (Endorsement 

Key) .SRK(Storage Root Key) 、 属 主 授权 数据 和 持久 标志 。 

PCR(Platform Configuration Registers) : 用 于 实现 为 可 变 或 不 可 变 存 储 区 。 系 统 

启动 或 平台 掉 电 时 它们 都 需要 重 设 。TCG 指定 了 要 实现 的 PCR 最 小 值 ,0 一 7 为 

TPM 使 用 ,8 一 15 是 操作 系统 和 应 用 程序 可 用 的 ,在 TPM1. 2 规范 定义 的 TPM 

PCR 已 经 有 24 个 。 

认证 身份 密 钥 (AIK): 认证 身份 密 钥 必须 是 持久 的 ,但 推荐 AIK 密 钥 保 存 为 

Blobs 在 持久 外 部 存储 (TPM 外 ) ,而 不 是 保存 在 TPM 中 的 不 可 变 存储 区 。TCG 

希望 TPM 实现 为 AIK Blobs 提供 足够 空间 以 便装 载 到 TPM 的 可 变 内 存 ,以 加 

速 运行 。 

程序 代码 : 程序 代码 包含 检测 平台 设备 的 固件 。 人 逻辑 上 ,这 是 CRTM(Core Root 
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of Trust for Measurement) 。 理 想 地 ,CRTM 包含 在 TPM 中 ,但 是 实现 时 可 以 要 
求 它 位 于 其 他 固件 中 。 

。 随机 数 产 生 器 (RNG): TPM 包含 一 个 真 的 随机 位 产生 器 ,用 于 产生 随机 数 。 
RNG 用 于 密 钥 产 生 、 临 时 数 创 建 ,并 增强 通行 证 粹 的 产生 。 

。 SHA-1 引擎 : 一 个 SHA-1 消息 摘要 引擎 用 于 计算 签名 创建 密 钥 Blobs 和 通常 使 
用 。 

。 RSA 引擎 : RSA 引擎 用 于 签名 密 钥 签 名 .用 存储 密 钥 加 密 / 解 密 和 用 EK 解密 。 
TCG 要 求 TPM 模块 包含 一 个 RSA 引擎 ,但 不 受 输入 输出 限制 。 

。 Opt-In: Opt-In 组 件 实现 TCG 策略 ,要求 TPM 模块 处 于 用 户 希 望 的 状态 。 这 涉 
及 从 取消 和 吊销 到 完全 生效 整个 范围 ,可 随时 让 所 有 者 拥有 。Opt-In 机 制 维护 逻 
辑 , 并 在 需要 时 通过 接口 决定 物理 状态 ,并 确保 按照 需求 将 取消 操作 应 用 到 其 他 


TPM 组 件 。 
。 执行 机 引擎 (Exec Engine) : 执行 引擎 运行 程序 代码 , 它 执行 TPM 初始 化 ,并 且 进 
行 检测 。 


。 通信 接口 : TCG 主 规范 没有 规定 通信 接口 或 总 线 体系 。 这 些 由 Platform Specific 
Specification(s) 归 档 的 实现 决策 考虑 。TCG 定义 了 一 个 由 真实 的 总 线 或 连接 传 
输 的 串 行 接口 。 

TCG 要 求 TPM 物理 上 是 防 算 改 的 。 这 里 包括 将 TPM 模块 物理 绑 定 到 平台 的 其 他 
物理 设施 (如 主板 ) ,使 其 不 易 拆除 和 迁移 到 其 他 平台 。 这 些 机 制 是 用 于 抗 自 改 的 , 算 改 证 
据 的 检测 需要 应 用 ,这 些 检测 能 基于 物理 审查 进行 自 改 检测 。 软 件 TPM 实现 必须 保证 
对 防 算 改 硬件 等 价 的 解释 ,这 样 一 种 解释 体现 了 期 望 的 安全 属性 。 也 就 是 ,一 个 特定 的 
TPM 是 严格 的 一 个 ,并 且 TPM 绑 定 一 个 特定 平台 。 

3) 信任 链 扩展 

在 TCG 系统 中 ,信任 根 是 必须 被 信任 的 组 件 ,否则 可 信 计 算 平台 没有 信任 的 起 点 。 
信任 传递 就 是 信任 根 对 另 一 组 功能 作出 可 信和 描述 的 过 程 。 基 于 这 种 描述 ,如 果 信 任 根 认 
为 某 个 组 件 的 某 个 功能 信任 水 平 是 可 接受 的 ,那么 信任 边界 就 从 根 信任 被 扩展 到 该 组 件 。 
从 TPM 信任 根 开始 到 硬件 平台 、 到 操作 系统 、 再 到 应 用 程序 ,一 级 认证 一 级 ,一 级 信任 
级 ,从 而 把 这 种 信任 扩展 到 整个 计算 机 系统 。 

信任 扩展 到 从 一 个 静态 根 信任 开始 的 系统 启动 过 程 中 ,同时 信任 边界 逐步 扩展 到 包 
括 那 些 并 不 是 从 一 开始 就 驻 留 于 根 信 任 中 的 代码 。 在 信任 边界 的 每 次 扩展 中 ,目标 代码 
总 是 在 执行 控制 权 发 生 转 移 之 前 先进 行 检测 的 。 

当 计算 机 系统 启动 时 ,首先 是 TPM 的 CRTM 接管 计算 机 系统 的 控制 权 ,CRTM 度 
量 和 验证 BIOS 的 完整 性 ,验证 成 功 则 CRTM 将 控制 权 交 给 BIOS,BIOS 再 加 载 各 种 硬 
件 , 对 Boot Loader 进行 度量 和 验证 ,验证 通过 则 启动 Boot Loader, 然 后 依次 度量 和 验证 
操作 系统 .应 用 程序 ,这 个 信任 扩展 过 程 最 终 完成 了 可 信 计 算 平 台 的 信任 链 建立 。 信 任 链 
的 建立 适合 TPM ,主机 平台 、EK 绑 定 在 一 起 ,其 中 存在 着 两 方面 的 绑 定 : 物理 绑 定 和 逮 
辑 绑 定 。 物 理 绑 定 依赖 于 硬件 技术 ,逻辑 绑 定 依赖 于 密码 技术 。TPM 是 一 个 焊接 在 主机 

平台 上 的 物理 芯片 ,EK 物理 上 绑 定 于 TPM(EK 位 于 TPM 内 部 ),TPM 物理 绑 定 于 主机 
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平台 是 通过 焊接 技术 。 而 多 辑 绑 定 是 通过 Hash 算法 的 扩展 TPM 内 部 的 PCR 寄存 器 
实现 。 


省 


在 单个 系统 中 信任 是 通过 信任 链 的 构建 完成 , 当 用 户 平台 建立 系统 内 部 信任 后 ,可 信 
计算 提供 了 一 种 新 型 的 安全 机 制 远 程 证 实 , 用 来 建立 平台 之 间 的 相互 信任 。 远 程 证 实 是 
TPM 对 平台 运行 状态 精确 描述 ( 即 度量 ) ,由 可 信 计 算 平台 向 远程 依赖 方 证 明 平台 的 软 硬 
件 配 置 及 其 运行 状态 。 其 基本 方法 是 可 信 计 算 平台 在 启动 阶段 ,TPM 对 系统 平台 配置 做 
了 全 面 的 度量 ,将 度量 结果 存储 在 防 自 改 的 PCR 寄存 器 中 ,然后 可 信 平 台 与 远程 依赖 方 
通信 时 ,证 明 平台 运行 环境 是 安全 、 可 信 的 。 远 程 证 明 将 可 信 平 台 的 信任 扩展 到 分 布 式 计 
算 环境 ,建立 起 平台 之 间 的 信任 关系 。TCG 所 制定 的 TNC 规范 ,在 网 络 接 入 时 引入 平台 
完整 性 状态 判定 ,就 是 远程 证 明 在 网 络 接 和 信任 扩展 方面 的 典型 应 用 。 目 前 TCG 也 致 
力 于 将 远程 证 明 与 TLS 协议 结合 ,建立 更 为 可 信 的 安全 通信 通道 。 


1122 可 信和 加 密 模块 TCM 


为 了 支持 我 国 可 信 计 算 的 研究 和 应 用 ,国家 密码 管理 局 于 2006 年 组 织 制定 了 “可 信 
计算 平台 密码 技术 方案 ”, 它 体现 了 三 个 原则 : 

(1) 以 国内 密码 算法 为 基础 ; 

(2) 结合 国内 安全 需求 与 产业 市 场 ; 

(3) 借鉴 国际 先进 的 可 信 计 算 技 术 框架 与 技术 理念 并 自主 创新 。 

《可 信 计 算 平台 密码 技术 方案 ) 是 构建 我 国 可 信 计 算 技 术 规范 体系 的 基础 。 

2007 年 12 月 由 国家 密码 管理 局 正式 制定 的 “可 信 计 算 密码 支撑 平台 功能 与 接口 
规范 可 信 计 算 本 规范 ”, 即 TCM 规范 ,以 “可 信 计 算 平台 密码 技术 方案 ”为 指导 ,描述 了 
可 信 计 算 密码 支撑 平台 的 功能 原理 与 要 求 , 并 定义 了 可 信 计 算 密码 支撑 平台 为 应 用 层 
提供 服务 的 接口 规范 ,包括 密码 算法 、 密 钥 管理 .证 书 管理 .密码 协议 .密码 服 务 等 应 用 
接口 。 用 以 指导 我 国 相关 可 信 计 算 产 品 开发 和 应 用 。 下 面 将 简要 描述 TCM 的 基本 概 
念 和 功能 ,并 与 TPM 比较 ,说 明 TCM 对 TCG 下 一 代 可 信 平 台 模块 TPM. next 的 积极 
影响 。 


1. 基本 概念 

1) 可 信 密 码 模块 (Trusted Cryptography Module, TCM) 

可 信 密 码 模块 (TCM) 是 可 信 计 算 平 台 的 硬件 模块 ,为 可 信 计 算 平台 提供 密码 运算 功 
能 ,具有 受 保护 的 存储 空间 。TCM 对 应 于 TCG 的 TPM 模块 。 

2) TCM 服务 模块 (TCM Service Module, TSM) 

TCM 服务 模块 (TSM) 是 可 信 计 算 密 码 支撑 平台 内 部 的 软件 模块 ,为 对 平台 外 部 提 
供 访问 可 信 密 码 模块 的 软件 接口 。TSM 对 应 于 TCG 的 可 信 软 件 栈 TSS。 


2 可 信 计 算 密码 支撑 平台 体系 
可 信 计 算 密码 支撑 平台 以 密码 技术 为 基础 ,实现 平台 自身 的 完整 性 .身份 可 信 性 和 数 
据 安全 性 等 安全 功能 。 平 台 自身 的 完整 性 , 即 利用 密码 机 制 ,通过 对 系统 平台 组 件 的 完整 
性 度量 ,确保 系统 平台 完整 性 ,并 向 外 部 实体 可 信 地 报告 平台 完整 性 。 身 份 的 可 信 性 , 即 
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利用 密码 机 制 ,标识 系统 平台 身份 ,实现 系统 平台 身份 管理 功能 ,并 向 外 部 实体 提供 系统 
平台 身份 证 明 。 平 台数 据 安全 保护 , 即 利用 密码 机 制 , 保 护 系 统 平台 敏感 数据 。 其 中 数据 
安全 保护 包括 平台 自身 敏感 数据 的 保护 和 用 户 敏感 数据 的 保护 。 男 外 ,也 可 为 用 户 数据 
保护 提供 服务 接口 。 

可 信 计 算 密码 支撑 平台 主要 由 可 信 密 码 模块 (TCM) 和 TCM 服务 模块 (TSM) 两 大 
部 分 组 成 ,其 功能 架构 如 图 11-4 所 示 。 


计算 系统 
安全 应 用 
ee 二 .人 
人 
rp | i rh 
可 信 计 算 密码 支撑 平台 


a 


| “操作 系统 (OS) 
OS 内 核 度量 与 修复 


可 信 报 告 根 | | ;| 可 信 存 储 根 


密码 算法 


可 信 密 码 模块 (TCM) 


图 11-4 可 信 计 算 密码 支撑 平台 功能 架构 


可 信 计 算 密码 支撑 平台 以 可 信 密 码 模块 为 可 信 根 ,通过 如 下 三 类 机 制 及 平台 自身 安 
全 管理 功能 ,实现 平台 安全 功能 。 

(1) 以 可 信和 度量 根 为 起 点 ,计算 系统 平台 完整 性 度量 值 ,建立 计算 机 系统 平台 信任 
链 , 确 保 系 统 平台 可 信 。 

(2) 可 信和 报告 根 标识 平台 身份 的 可 信 性 ,具有 唯一 性 ,以 可 信 报 告 根 为 基础 ,实现 平 
台 身 份 证 明和 完整 性 报告 。 

(3) 基于 可 信 存 储 根 , 实 现 密 钥 管理 .平台 数据 安全 保护 功能 ,提供 相应 的 密码 
服务 。 
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3 可 信和 密码 模块 
可 信和 密码 模块 (TCM) 是 可 信 计 算 密 码 支 撑 平 台 必 备 的 关键 基础 部 件 , 提 供 独 立 的 密 
码 算法 支撑 。TCM 是 硬件 和 固件 的 集合 ,可 以 采 


用 独立 的 封装 形式 ,也 可 以 采用 IP 核 的 方式 和 其 VO 
他 类 型 芯片 集成 在 一 起 ,提供 TCM 功能 。 其 基本 ep a 
组 成 结构 如 图 11-5 所 示 。 
。1/O: TCM 的 输入 输出 硬件 接口 。 | SM3 引 敬 随机 数 产生 器 
。 SMS4 引擎 : 执行 SMS4 对 称 密码 运算 的 单元 。 
。SM2 引擎 产生 SM2 密 钥 对 和 执行 SM2 | HMAC 绎 执行 引 千 
加 /解密 、 签 名 运算 的 单元 。 [人 易 失 存 全 中 


。 SM3 引擎 执行 杂凑 运算 的 单元 。 

。 随 机 数 产生 器 (RNG): 生成 随机 数 的 单元 。 ”图 115 可 信和 密码 模块 (TCM) 结 构 

。 HMAC 引擎 : 基于 SM3 引擎 的 计算 消息 
认证 码 单元 。 

。 执行 引擎 : TCM 的 运算 执行 单元 。 

。 非 易 失 性 存储 器 : 存储 永久 数据 的 存储 单元 。 

。 昂 失 性 存储 器 : TCM 运行 时 临时 数据 的 存储 单元 。 

其 中 涉及 的 密码 算法 包括 SM2 椭圆 曲线 密码 算法 .SMS4 对 称 密码 算法 .SM3 密码 
杂凑 算法 `HMAC 消息 认证 码 算法 .随机 数 发 生 器 。 这 些 密码 算法 必须 符合 国家 密码 管 
理 局 管理 要 求 并 在 可 信和 密码 模块 内 实现 。 其 中 : 

。 SM2 椭圆 曲线 密码 算法 ,其 密 钥 位 长 为 m(m 二 256)。SM2 算法 包含 系统 参数 、 密 
钥 对 生成 数字 签名 算法 (SM2-1) 、 密 钥 交 换 协 议 (SM2-2) 和 加 密 算法 (SM2-3) 五 
个 部 分 。 

。 SMS4 对 称 密码 算法 ,该 算法 是 一 个 分 组 算法 ,该 算法 的 分 组 长 度 为 128 比特 , 密 
钥 长 度 为 128 比特 。 加 密 算法 与 密 钥 扩展 算法 都 采用 32 轮 非 线 性 迭代 结构 。 解 
密 算法 与 加 密 算法 的 结构 相同 ,只 是 轮 密 钥 的 使 用 顺序 相反 ,解密 轮 密 钥 是 加 密 
轮 密 钥 的 逆序 。 

。 SM3 密码 杂凑 算法 ,对 于 给 定 的 长 度 为 &(R<264) 的 消息 ,SM3 密码 杂凑 算法 经 
过 填充 .迭代 压缩 和 选 裁 ,生成 杂凑 值 。 经 预 处 理 过 的 消息 分 组 长 度 为 512 比特 ， 
规范 选用 的 杂凑 值 长 度 为 256 比特 。 

。 HMAC 消息 认证 码 算法 ,利用 密码 杂凑 算法 SM3 ,对 于 给 定 的 消息 和 验证 双方 共 
享 的 秘密 信息 产生 长 度 为 + 字 节 的 消息 验证 码 , 消 息 验证 码 产生 过 程 采用 FIPS 
PUB 198 中 的 消息 验证 码 产 生 过 程 。 

。 随机 数 发 生 器 。 规 范 不 规定 随机 数 生成 的 具体 算法 ,随机 数 生成 算法 由 可 信和 密码 
模块 制造 商 设 计 实 现 。 所 生成 的 随机 数 必须 为 真 随机 数 ,并 满足 国家 商用 密码 随 
机 数 检 测 要 求 。 
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4 TCM 服务 模块 

可 信 密 码 模块 定义 了 一 个 具有 存储 保护 和 执行 保护 的 子 系统 ,该 子 系统 将 为 计算 平 
台 建 立信 任 根基 ,并 且 其 独立 的 计算 资源 将 建立 严格 受 限 的 安全 保护 机 制 。 为 防止 TCM 
成 为 计算 平台 的 性 能 瓶颈 ,将 子 系统 中 需要 执行 保护 的 函数 与 无 须 执行 保护 的 函数 划分 
开 , 将 无 须 执行 保护 的 功能 函数 由 计算 平台 主 处 理 器 执行 ,而 这 些 支持 函数 构成 了 TCM 
服务 模块 , 简 记 为 TSM。 

TSM 主要 提供 对 TCM 基础 资源 的 支持 ,由 多 个 部 分 组 成 ,每 个 部 分 间 的 接口 定义 
应 具有 互 操作 性 。TSM 应 提供 规范 化 的 函数 接口 。TSM 设计 目标 : 

。 为 应 用 程序 调用 TCM 安全 保护 功能 提供 一 个 人 口 点 ; 

。 提供 对 TCM 的 同步 访问 ; 

。 向 应 用 程序 隐藏 TCM 所 建立 的 功能 命令 ; 

。 管理 TCM 资源 。 


1123 ”TOM.TPM.TPMnext 之 间 的 关系 


我 国 TCM 标准 (可 信 计 算 密码 支撑 平台 功能 与 接口 规范 ) 体 系 结构 和 TCG 的 TPM 
规范 基本 类 似 , 但 在 密码 算法 支持 以 及 具体 实现 上 略 有 不 同 , 如 表 11-1 所 示 ,TCM 采用 
了 椭圆 曲线 ECC 非 对 称 加 密 算法 而 不 是 RSA 算法 .采用 SCH Hash 算法 而 不 是 SHA1 
算法 .采用 了 TPM 并 不 支持 的 对 称 加 密 算法 (SMS4) ,完整 性 度量 长 度 为 256b 而 不 是 
160b。 此 外 ,TCM 还 支持 了 数字 信封 , 双 证 书 、 新 的 密 钥 迁移 实现 机 制 . 新 的 授权 数据 存储 
管理 方式 和 建立 防 重 放 攻击 机 制 ,而 这 些 TCG 组 织 的 TPM 有 些 不 支持 ,而 有 些 方式 不 同 。 


表 11-1 TCM 与 TPM 技术 比较 


对 比 项 TCM/TSM TPM/TSS 
密码 算法 ECC(256b) .SCH(256b) \.SMS4 .RNG RSA(2048b) .SHA1(160b) .RNG 
完整 性 度量 与 PCR | 长 度 为 256b 长 度 为 160b 
对 称 密码 算法 人 SMS4 保护 关 | TPM 层 不 使 用 对 称 算法 
公 钥 与 对 称 密 钥 混合 的 密 钥 保护 体系 结 
3 1 护 疆 a 八 钥 的 疆 
密 钥 保护 结构 构 ,存储 主 密 钥 为 对 称 密 钥 纯 公 钥 的 密码 保护 体系 结构 
授权 协议 -i 自主 设计 的 授权 协议 OIAP/OSAP/ ADIP/ ADCP/ AACP 
密 钥 协 商 支持 不 支持 
数字 信封 支持 数字 信封 功能 不 支持 
证 书 支持 我 国 特有 的 双 证 书 不 支持 双 证 书 
简化 证 书 管理 证 书 管理 复杂 
密 钥 迁 移 新 的 密 钥 迁移 实现 机 制 TCG 迁移 机 制 
授权 数据 存储 管理 | 新 的 方式 (强调 效率 ) TCG 方式 
会 话 过 程 建立 防 重 放 攻击 机 制 无 防 重 放 攻 击 机 制 
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2008 年 ,TPM 标准 已 经 成 为 ISO 国际 标准 。 同 年 , 受 中 国 推出 自主 TCM 标准 规范 
的 影响 ,TCG 组 织 目前 正在 讨论 和 规范 TPM. next 标准 ,试图 兼容 各 国 不 同 密码 算法 ,使 
其 标准 全 球 化 。TPM. next 的 主要 目标 如 下 。 


1. 支持 多 种 不 同 的 密码 算法 

这 源 于 TPM 1. 2 所 采用 的 RSA 2048b 和 SHA-1 算法 面临 安全 性 威胁 ,SHA-1 已 经 
被 证 明 不 安全 。 所 以 ,TPM. next 将 支持 ECC 非 对 称 密码 算法 ,以 此 满足 一 些 重要 市 场 
的 需求 ,例如 ,中 国 。 此 外 ,TPM. next 将 定义 互 操作 的 算法 集 , 以 同时 允许 多 个 算法 集成 
在 同一 个 TPM 中 选择 使 用 ,从 而 实现 一 种 灵活 地 替换 被 破解 算法 的 方法 ,以 支持 未 来 产 
品 的 升级 。 


2 增强 对 虚拟 系统 的 支持 

虚拟 化 (Virtualization) 对 于 各 种 平台 将 越 来 越 普遍 ,TPM 也 可 以 应 用 于 服务 器 环 
境 。 为 此 ,TPM. next 将 考虑 支持 虚拟 系统 ,不 仅仅 是 虚拟 化 TPM(vTPM) 这 种 软件 上 
的 支持 。 改 变 TPM 内 部 的 密 钥 层次 结构 (key hierarchy) , 允许 为 每 个 VM 创建 pseudo 
SRK, 以 便 保 护 虚 拟 机 的 密 钥 树 。pseudo SRK 的 迁移 应 该 在 虚拟 机 管理 器 的 控制 
这 下。 


3 在 性 能 方面 进行 改进 

因为 采用 非 对 称 密码 , 现 有 TPM 加 载 密 钥 层次 结构 (key hierarchy) 非 常 慢 。 它 将 采 
纳 TCM 标准 中 用 对 称 密 钥 加 密 非 对 称 密 钥 的 方法 提高 效率 。 

我 国 TCM 标准 采用 了 国产 密码 算法 ,要 求 可 信 计 算 标准 在 中 国 本 地 化 ,不 允许 可 信 
计算 密码 支撑 平台 修改 ,只 允许 上 层 应 用 与 TCG 兼容 。 因 此 ,可 信 计 算 标 准 的 全 球 化 和 
本 地 化 的 矛盾 ,将 左右 可 信 计 算 未 来 标准 的 发 展 。 


113 ”可 信 平 台 技术 


TCG 系统 中 的 信任 根 是 一 组 组 件 , 它 们 必须 是 可 信 的 ,因为 它们 的 不 正确 行为 可 能 
不 被 检测 。 一 组 完整 的 信任 根 至 少 应 该 是 一 个 最 小 功能 , 即 描 述 影 响 平 台 可 信 性 的 平台 
特性 所 必需 的 功能 。 

通常 一 个 可 信 平 台 有 三 个 信任 根 : 检测 信任 根 (RTM) 、 存 储 信任 根 (RTS)、 报 告 信 
任 根 (RTR)。RTM 是 能 够 进行 固有 可 靠 的 完整 性 检测 的 一 种 计算 装置 。 典 型 地 ,标准 
平台 计算 装置 是 由 核心 的 检测 信任 根 CRTM(core root of trust for measurement) 控 制 。 
当 CRTM 以 RTM 身份 操作 时 , 它 是 由 该 平台 执行 的 指令 。RTM 也 是 可 传递 信任 链 的 
根 。RTS 是 这 样 一 种 计算 装置 , 它 能 够 维护 完整 性 摘要 值 的 一 个 精确 的 概要 和 这 个 摘要 
序列 。RTR 是 能 够 可 靠 地 报告 从 RTS 所 获取 的 信息 的 一 种 计算 装置 。 每 个 信任 根 的 功 
能 能 够 无 玻 忽 地 被 正确 执行 是 可 信 的 。 对 信任 根 的 信任 可 通过 各 种 方式 获得 ,但 是 要 求 
包括 资深 专家 的 技术 评估 。 
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11.31 可 信 平 台 构 件 


可 信 平 台 构 件 TBB(Trusted Building Blocks) 是 信任 根 的 组 成 部 分 ,不 具有 隔离 的 位 
置 或 受 保护 的 权能 。 正 常 地 ,这 些 只 包括 RTM 和 TPM 的 初始 化 功能 指令 (例如 ， 
reset)。 典 型 地 ,它们 是 平台 专用 的 。TBB 的 一 个 实例 是 由 CRTM、CRTM 存储 到 主板 
的 连接 ,TPM 到 主板 的 连接 和 判定 物理 存在 的 机 制 组 成 ,图 11-6 黑色 部 分 表示 可 信和 平台 
的 TBB。 


Boot ROM 


CPU 


Init, 
Reset 


Display 


Embedded 
Devices 


Removable E 
Devices Keyboard 


图 11-6 黑色 部 分 表示 可 信 平 台 的 可 信和 构建 块 


TBB 可 信 的 含义 是 它 的 行为 是 以 一 种 不 会 违背 可 信 平 台 目标 的 方式 预期 执行 。 
11.32 可 信 边 界 


TBB 和 信任 根 的 组 合 处 于 信任 边界 ,在 这 个 边界 上 检测 存储 和 报告 对 最 小 配置 是 
可 实现 的 。 更 复杂 的 系统 要 求 被 其 他 (可 选 的 )ROM 代码 (包括 CRTM) 检 测 。 为 此 , 必 
须 建立 其 他 ROM 代码 的 可 信 。 这 通过 检测 先 传递 执行 控制 权 的 ROM 代码 完成 。 建 立 
TBB 以 使 设备 包含 其 他 检测 代码 不 会 无 意 地 扩展 TBB 边界 ,在 此 边界 上 连接 的 可 信 以 
前 并 没有 建立 起 来 。 


11.33 可 传递 的 信任 


可 传递 的 信任 也 称 为 “可 传导 的 信任 ”(Inductive Trust) ,是 一 个 过 程 , 其 中 信任 根 给 
出 了 第 二 组 功能 的 可 信 描 述 。 基 于 这 个 描述 ,该 实体 可 以 判定 将 信任 放 在 第 二 组 功能 的 
什么 位 置 。 如 果实 体 判 定 第 二 组 功能 的 信任 级 是 可 接受 的 ,信任 边界 将 从 信任 根 扩展 包 
括 第 二 组 功能 。 此 时 ,这 个 过 程 可 以 重复 ,第 二 组 功能 可 以 提供 第 三 组 功能 的 可 信 描 述 
等 。 可 传递 的 信任 用 于 提供 平台 特性 的 信任 描述 ,也 证 明 不 可 迁移 密 钥 是 不 能 迁移 的 。 
如 图 11-7 所 示 的 可 传递 信任 被 用 于 从 静态 信任 根 导 和 人 的 一 个 系统 ,并且 其 信任 边界 扩展 
包括 本 来 不 在 信任 根 的 代码 。 信 任 边界 的 每 一 次 扩展 ,目的 代码 在 执行 控制 被 转移 之 前 
要 首先 被 检测 。 


11.34 完整 性 度量 
度量 事件 由 两 类 数据 组 成 : 一 是 度量 值 一 嵌入 的 数据 或 程序 代码 的 一 种 表示 ; 二 
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(© Application 


code I 
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ee KS 


Execution flow © 
OS Loader Measurement flow 
code OD 


CRTM code 


TBB+Roots of Trust 


图 11-7 从 静态 信任 根 开始 的 信任 链 扩 展 


是 度量 摘要 一 一 这 些 值 的 Hash 值 。 数 据 是 由 产生 信息 摘要 的 度量 内 核 来 查看 ,摘要 是 
机 器 可 操作 状态 的 快照 。 这 两 个 数据 元 素 ( 被 度量 的 值 和 度量 摘要 ) 分 开 存储 ,度量 摘要 
使 用 RTR 和 RTS 功能 存储 在 TPM 上 。 度 量 值 事实 上 可 以 保存 在 任何 位 置 , 由 度量 内 
核 判 定 。 实 际 上 , 它 可 能 根本 没有 保存 ,但 是 在 需要 连续 表示 的 任何 时 候 重新 计算 。 

度量 数据 描述 被 度量 组 件 的 属性 和 特征 ,足够 详细 地 理解 被 度量 域 的 语法 和 语义 以 
产生 一 种 适合 度量 事件 用 户 的 编码 是 度量 内 核实 现 者 的 职责 。 实 现 者 在 决策 事件 数据 如 
何 划 分 中 起 着 重要 作用 。 特 定 平 台 的 规范 包含 额外 的 内 容 规范 平台 配置 .表示 和 期 望 的 
检测 用 户 。 

存储 的 度量 日 志 SML(Stored Measurement Log) 包 括 一 系列 相关 的 度量 值 。 被 度 
量 的 值 附加 在 度量 摘要 中 并 重新 Hash。 这 通常 更 可 能 指 的 是 扩展 摘要 。 扩 展 确保 相关 
的 度量 值 不 会 被 忽略 ,并且 操 作 顺 序 被 保留 。 

TPM 包含 一 组 寄存 器 , 称 为 PCR(Platform Configuration Registers) ,包含 度量 摘 
要 。 从 代数 学 来 看 , 按 以 下 方式 更 新 一 个 PCR: PCR[n] 二 SHA-1(PCR[nj] 十 SHA-1( 被 
度量 的 数据 ))。PCR 的 值 是 临时 的 ,系统 重启 时 重新 设置 。 度 量 事件 的 度量 要 求 度量 摘 
要 重新 创建 ,并 且 简单 比较 摘要 值 ( 使 用 PCR 值 作为 一 个 比较 值 )。TCG 没有 为 SML 内 
容 定义 数据 编码 规则 只 是 推荐 了 恰当 的 标准 ,例如 XML 确保 广泛 的 可 达 性 。 然 而 ,不 同 
的 平台 可 能 需要 不 同 的 表示 ,因此 特定 平台 的 规范 可 以 定义 其 他 编码 规则 。SML 可 能 变 
得 非常 大 ,因此 没有 放 在 TPM 中 。SML 不 需要 由 TPM 提供 保护 ,因为 对 SML 的 攻击 
将 被 检测 。 但 是 SML 仍然 会 受到 拒绝 服务 攻击 。 实 现 者 应 该 采取 一 些 措施 复制 或 重新 


建立 这 个 日 志 。 
11.35 完整 性 报告 


RTR(Root of Trust for Reporting) 有 两 个 功能 : 一 个 是 要 找 出 完整 性 度量 存储 的 隔 
离 位 置 , 男 一 个 是 要 证 明基 于 可 信和 平台 身份 保存 的 值 的 真实 性 , PCR 可 实现 于 可 变 和 不 
可 变 存储 区 。PCR 必须 免 受 软件 攻击 ,必须 考虑 采取 阻止 物理 窃听 的 措施 。 完 整 性 报告 
要 进行 数字 签名 以 便 使 用 AIK 鉴定 PCR 值 ,一 个 临时 值 包含 在 签名 的 PCRs 中 以 阻止 
重复 操作 。 
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TPM 产生 和 管理 AIK 密 钥 。TPM 可 以 有 很 多 AIK 密 钥 。 在 平台 属 主 设计 共 谋 后 
果 时 ,不 同 的 AIK 密 钥 用 于 保护 私密 性 。TPM 携带 一 个 舱 入 的 密 钥 ( 称 为 EK- 
Endorsement Key) 。EK 在 保证 AIK 证 书 的 一 个 过 程 中 被 使 用 ,并 用 于 建立 一 个 平台 属 
主 。 平 台 属 主 可 以 建立 一 个 存储 根 密 钥 ,存储 根 密 钥 反 过 来 用 于 隐藏 其 他 TPM 密 钥 。 


11.36 TOG 证 书 机 制 


TCG 定义 了 五 种 类 型 的 证 书 。 每 种 类 型 表示 只 提供 执行 特定 操作 必要 的 信息 。 证 
书 的 格式 以 ASN. 1 格式 表示 ,并 且 和 希望 能 权衡 考虑 公 钥 体系 的 一 些 元 素 。 
证 书 类 型 包括 : 
签注 或 EK 证 书 (Endorsement or EK credential) ; 
一 致 性 证 书 (Conformance credential) ; 
平台 证 书 (Platform credential) ; 
确认 证 书 (Validation credential); 
认证 身份 或 AIK 证 书 (Identity or AIK credential) 。 


1. 签注 或 奢 证 书 

这 个 证 书 由 EK 的 生成 者 发 布 。EK 的 产生 是 制造 过 程 的 一 部 分 。 和 希望 由 TPM 投 
资 商 来 生成 EK。 但 EK 应 该 在 提交 到 最 终 用 户 使 用 之 前 生成 ,使 厂商 能 宣称 EK 被 正确 
创建 了 ,并 且 和 嵌入 一 个 有 效 的 TPM 中 。 如 果 EK 密 钥 对 生成 于 提交 平台 给 用 户 之 后 ,这 
个 密 钥 创建 的 条 件 就 可 能 会 影响 可 以 提供 的 签注 。 签 注 包含 以 下 信息 : 

。 TPM 厂商 名 称 ; 

。 TPM 零 配件 模型 号 ; 

。 TPM 版 本 或 分 级 ; 

。 EK 公 钥 。 

EK 公 钥 尽管 是 公开 的 ,但 是 具有 私密 性 ,因为 它 唯一 地 标识 TPM 并 延伸 该 平台 。 
TCG 希望 每 个 TPM 实例 有 一 个 EK 证 书 。 

2 一 致 性 证 书 

这 些 证 书 是 由 具有 足够 可 信 的 实体 发 布 ,目的 是 评估 一 个 TPM 或 包含 TPM 的 平 
台 , 这 种 评估 由 平台 厂商 、 投 资 商 或 独立 的 实体 执行 。 一 致 性 证 书 表 明 评 估 者 对 TBB 的 
设计 和 实现 与 建立 的 评估 准则 之 间 一 致 性 的 接受 程度 。 评 估 者 通过 签名 证 书证 实 评估 的 
结果 ,其 细节 可 以 审查 。TCG 通过 定义 意义 明确 的 评估 标准 和 准则 协助 评估 ,一 个 平台 
可 以 发 布 多 个 一 致 性 证 书 : 一 个 是 关于 TPM 的 ,其 他 是 关于 不 同 TBB 组 建 。 一 致 性 证 
书 可 以 包括 以 下 信息 : 

。 评估 者 名 称 ; 

。 平台 厂商 名 称 ; 

。 平台 模型 号 ; 

。 平台 版 本 号 (可 用 的 话 ); 

。 TPM 厂商 名 称 ; 
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。 TPM 模型 号 ; 
。 TPM 版 本 号 或 分 级 。 
一 致 性 证 书 不 包含 唯一 标识 特定 平台 的 信息 。TCG 认为 每 个 平台 模型 可 以 存在 几 

个 一 致 性 证 书 , 但 只 有 一 组 证 书 是 同一 构造 和 同一 模型 的 多 个 平台 所 需 的 。 


3. 平 台 证 书 

这 个 证 书 由 平台 厂商 、 投 资 商 或 任何 具有 足够 可 信和 度 的 人 发 布 。 它 标识 平台 的 厂商 ， 
并 描述 平台 属性 。 它 也 引用 TPM 相关 的 平台 签注 和 相关 的 一 致 性 证 书 。 

证 书 引用 由 被 引用 证 书 的 信息 摘要 组 成 。 平 台 证 书 被 认为 具有 私有 性 ,因为 这 个 证 
书 与 一 个 特定 的 平台 关联 ,而 不 是 一 类 这 样 的 平台 。 平台 证 书包 含 以 下 信息 : 

。 平 台 厂 商 名 称 ; 

。 平台 模型 号 ; 

。 平台 版 本 号 (可 用 的 话 ); 

。 签注 ; 

i 

| 证 明 平 台 包含 由 签注 所 描述 的 一 个 TPM。TCG 认为 每 个 
we 平台 证 书 。 

4 确认 证 书 

TCG 认为 可 检测 组 件 、 硬 件 或 软件 的 厂商 将 提供 参考 检测 值 。 参 考 检测 值 是 被 检测 
组 件 制造 过 程 中 获得 的 摘要 ,此 时 该 组 件 被 认为 处 于 正确 的 工作 秩序 。 典 型 地 ,出 现在 功 
能 测试 之 后 。 不 是 所 有 的 组 件 会 创建 确认 证 书 ,只 有 那些 对 安全 性 造成 威胁 的 组 件 要 上 由 
后 门 检测 。 

净 室 检测 可 在 任何 时 候 采 用 ,此 时 提示 摘要 的 使 用 者 信任 净 室 操作 者 的 宣 陈 。 引 用 
检测 与 真实 的 (运行 时 的 ) 检 测 比 较 , 使 检测 变化 。 用 期 望 的 摘要 描述 组 件 结构 的 签名 文 
档 称 为 确认 证 书 。 可 以 拥有 确认 证 书 的 组 件 实例 包括 : 

。 视频 适 配 融 ; 

。 磁盘 存储 适配器 ; 

。 内 存 控制 器 ; 

。 通信 控制 器 /网 络 适 配器 ; 

。 处 理 器 ; 

。 键盘 和 鼠标 ; 


“ 软件; 
确认 证 书 由 一 个 有 效 实体 发 布 ,任何 乐意 和 能 够 检测 和 证 明 被 检测 值 的 人 都 被 认为 


一 个 有 效 实体 。 典 型 地 ,组 件 厂商 最 能 产生 期 望 值 , 任 何 部 分 的 组 件 描述 可 以 用 作 信 任 
决策 。 但 是 ,确认 证 书 的 候选 组 件 可 能 是 那些 具有 安全 性 威胁 的 。 组 件 描述 希望 至 少 包 
括 以 下 元 素 : 

。 有 效 实体 名 称 ，; 


。 组 件 厂商 名 称 ; 
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。 组 件 模型 号 ; 
量 件 版 本 或 分 级 ; 

四 检测 值 ; 

。 组 件 能 力 (不 变 ) 。 

每 个 模型 一 系列 组 件 或 单个 组 件 可 能 有 一 个 证 书 , 取 决 于 签名 信息 的 唯一 性 。 确 认 
证 书 的 发 布 和 发 行 通过 各 种 适合 执行 确认 的 途径 ,提供 自动 工具 易于 识别 的 电子 形式 发 
布 是 很 有 用 的 ,希望 证 明 事 件数 据 精确 性 的 代理 商 可 以 比较 PCR 值 和 确认 证 书 检测 值 。 


5 认证 身份 或 AK 证 书 (ldentity ar AK credentia) 

AIK 证 书 识别 用 于 签名 PCR 值 的 AIK 私 钥 , 它 包含 AIK 公 钥 和 可 选 的 任意 其 他 信 
息 ( 由 发 行者 决定 )。 认 证 身份 证 书 由 一 个 服务 发 行 ,这 个 服务 可 信任 验证 各 种 证 书 和 保 
持 客户 的 私密 性 策略 。 

通过 发 布 认 证 身份 证 书 , 签 名 者 证 明 TPM 的 真实 性 ,通过 提供 TPM 的 事实 。 证 据 
的 目的 是 TPM 拥有 AIK ,并 且 AIK 绑 定 于 有 效 的 签注 .平台 和 一 致 性 证 书 。 

可 信 方 也 保证 遵守 客户 的 私密 性 要 求 , 要 求 中 可 能 包括 保护 可 能 在 注册 过 程 导致 泄 
密 的 个 人 身份 信息 。 一 个 发 起 者 可 以 和 该 证 书 中 的 其 他 信息 一 起 使 用 这 个 信息 ,以 便 通 
过 认证 协议 信任 该 平台 。 认 证 身份 证 书 引用 的 其 他 证 书 如 下 : 

。 认证 身份 证 书 引 用 包含 一 个 对 TPM 厂商 的 和 模型 的 引用 ,但 不 是 私有 性 的 EK。 

。 认证 身份 证 书 引用 也 包含 一 个 对 TPM 厂商 的 和 模型 的 引用 ;这 个 引用 不 是 对 平 

台 身 份 本 身 , 而 是 引用 包含 在 平台 证 书 (不 具有 私有 性 ) 里 的 信息 。 
。 认证 身份 证 书包 含 一 个 指针 ,指示 一 个 发 起 者 找到 TPM 和 平台 的 一 致 性 文档 。 


6 证 书 的 信任 性 和 私密 性 
在 以 上 证 书 的 描述 中 ,有 一 个 关于 私密 性 的 声明 。 尽 管 每 个 证 书 要 求 提供 平台 的 信 
任 ,TCG 规范 规定 平台 厂商 必须 提供 这 些 证 书 的 保护 以 维护 用 户 私密 性 。 


7. 颁发 认证 证 书 的 方法 

。 和 平台 一 起 发 布 一 一 放 在 CD 或 磁盘 媒体 。 

。 网 站 下 载 一 一 厂商 网 址 。 

。 第 三 方 服务 一 一 如 检索 器 或 目录 服务 。 

无 论 获取 证 书 的 机 制 如 何 , 证 书 的 发 布 要 提供 机 制 满足 平台 属 主 的 私密 性 要 求 。 


11.37 TCG 密 钥 管 理 机 制 


1. TCG 密 钥 树 状 结构 
RTS(Root of Trust for Storage) 保 护 TPM 委托 的 密 钥 和 数据 。RTS 管理 少量 的 可 
变 内 存 , 其 中 保存 了 用 于 对 操作 执行 签名 和 加 密 的 密 钥 ,如 图 11-8 所 示 。 
不 可 迁移 的 密 钥 可 以 被 加 密 并 移出 存储 区 以 腾 出 空间 给 活动 密 钥 。 密 钥 分 块 缓冲 区 
的 管理 由 密 钥 缓冲 器 KCM(Key Cache Manager) 在 TPM 外 负责 。KCM 与 存储 设备 交 
互 , 以 在 存储 设备 中 随时 保存 不 可 迁移 密 钥 。RTS 具有 双重 作用 ,作为 通用 目的 的 受 保 
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图 11-8 TCG 的 密 钥 存储 块 机 制 


护 存 储 设备 ,也 允许 保存 不 透明 的 数据 。RTS 被 优化 以 保存 小 的 客体 ,大 概 对 称 密 钥 的 
大 小 减 去 负载 (例如 210 字 节 )。 各 种 客体 类 型 要 保存 ,例如 对 称 和 非 对 称 密 钥 .通行 证 
(pass-phrases) cookies ,鉴别 结果 和 不 透明 数据 等 。 有 三 种 密 钥 类 型 对 TPM 是 不 透明 
的 : AIK 密 钥 .签名 密 钥 和 存储 密 钥 。TPM 内 内 入 了 两 个 密 钥 : 存储 根 密 钥 (Storage 
Root Key,SRK) 和 注册 密 钥 (Endorsement Key,EK)。 这 些 密 钥 不 能 从 TPM 删除 ,但 是 
可 以 创建 一 个 新 的 SRK 作为 新 的 平台 所 有 者 的 组 成 部 分 。 

加 密 过 的 所 有 数据 客体 受 前 面 的 SRK 控制 具有 副作用 。SRK 由 TPM 生成 ,并 且 在 
TPM 所 有 者 建立 时 SRK 通行 证 使 用 EK 进行 加 密 。SRK 用 于 保护 保存 在 TPM 之 外 的 
其 他 密 钥 。 所 有 由 RTS 管理 的 密 钥 具 有 可 迁移 或 不 可 迁移 的 属性 , 密 钥 的 属性 决定 是 否 
一 个 密 钥 可 以 从 一 个 TPM 向 男 一 个 迁移 。 在 密 钥 创建 时 建立 其 属性 值 并 且 不 可 改变 。 
从 语义 上 看 ,一 个 不 可 迁移 的 密 钥 永远 与 一 个 特定 的 TPM 实例 联系 在 一 起 。 一 个 不 可 
迁移 密 钥 的 迁移 会 导致 一 个 平台 假冒 成 其 他 平台 。 一 个 AIK 密 钥 是 最 好 的 实例 , 它 从 不 
迁移 。 因 此 ,AIK 密 钥 固定 为 不 可 迁移 的 。 可 迁移 的 密 钥 可 以 在 TPM 设备 之 间 交 换 , 这 
使 得 密 钥 对 可 以 紧 随 其 用 户 而 无 须 考 虑 所 使 用 的 设备 。 即 使 计算 平台 变 了 ,用 户 之 间 交 
换 的 消息 仍然 可 达 。 

密 钥 的 属性 不 用 于 不 透明 数据 ,为 了 扩展 不 可 迁移 属性 到 不 透明 数据 ,要 使 用 一 个 不 
可 迁移 的 存储 密 钥 将 该 数据 保存 在 RTS。 只 要 不 透明 数据 由 TPM 控制 , 它 就 不 能 在 其 
他 任何 地 方 解 密 。 但 是 ,一 旦 数据 在 TPM 外 被 解密 , 它 显然 被 迁移 到 某 个 系统 。 


2 密 钥 类 型 

TCG 定义 了 七 种 密 钥 类 型 ,每 个 类 型 携带 一 组 限制 性 属性 限制 它 的 使 用 。TCG 密 
钥 可 以 分 为 签名 或 存储 密 钥 ,它们 可 以 进一步 分 为 平台 身份. 绑 定 .通用 或 遗传 密 钥 ,对 
称 密 钥 单独 分 为 鉴别 密 钥 。 这 七 种 密 钥 如 下 : 
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。 签名 密 钥 ,是 通用 目的 的 对 称 密 钥 ,用 于 签名 应 用 数据 和 消息 。 可 以 是 可 迁移 的 
或 不 可 迁移 的 。 可 迁移 的 密 钥 可 以 在 TPM 设备 之 间 输 入 或 输出 。TPM 可 以 签 
名 应 用 数据 和 实施 迁移 限制 。 

。 存储 密 钥 ,是 通用 目的 的 对 称 密 钥 ,用 于 加 密 数据 或 其 他 密 钥 。 存 储 密 钥 用 于 包 
装 密 钥 外 部 需要 管理 的 数据 。 

。 身份 密 钥 (AIK keys) 是 不 可 迁移 的 签名 密 钥 ,独自 用 于 签名 由 TPM 产生 的 数据 
(如 TPM 权能 和 PCR 注册 值 ) 。 

。 签注 密 钥 是 支持 平台 的 一 种 不 可 迁移 的 解密 密 钥 ,用 于 在 平台 属 主 建立 时 解密 属 
主 的 授权 数据 ,和 解密 与 建立 相关 的 消息 , 它 从 不 用 于 加 密 或 签名 。 

。 绑 定 密 钥 ,用 于 加 密 一 个 平台 上 的 小 数目 的 数据 (如 一 个 对 称 密 钥 ) 和 在 另 一 方 解 
密 它 。 

。 遗传 密 钥 是 在 TPM 之 外 创建 的 密 钥 ,它们 输入 到 TPM 之 后 用 于 签名 和 加 密 操 
作 , 它 们 定义 为 可 迁移 的 。 

。 鉴定 密 钥 ,是 用 于 保护 关系 到 TPM 的 传输 会 话 的 对 称 密 钥 。 


3. 外 部 存储 和 密 钥 缓存 管理 

TPM 要 求 是 一 种 低 耗 商用 组 件 ,适合 用 户型 计算 平台 。 因 此 ,TPM 本 身 就 应 该 有 受 
限 的 动态 (可 变 ) 和 持久 (不 可 变 ) 存 储 。TCG 使 用 场合 建议 需要 不 受 限 的 存储 ,为 此 , 定 
义 了 TPM 的 外 部 存储 和 一 个 缓存 管理 器 。 

1) 外 部 存储 

为 了 允许 真实 未 受 限 的 密 钥 和 存储 区 ,RTS 将 用 于 外 部 存储 的 密 钥 封装 到 加 密 的 密 
钥 Blobs。 密 钥 Blobs 对 TPM 外 部 是 不 透明 的 ,并 且 可 保存 在 任意 可 用 的 存储 设备 上 
(例如 Flash 、 Disk 和 Network File Server) 。Blobs 结构 绑 定 到 特定 的 TPM， 
到 特定 的 平台 配置 。Blobs 通过 使 用 一 个 内 容 加 密 的 Hash 来 引用 ,采用 句柄 或 其 他 合 
的 引用 机 制 。 引 用 标识 可 消除 对 Blobs、KCM 下 基 并 籽 和 科 币 请 基 相交 记忆 究 邮 出 烤 交 。 
其 他 信息 ,包括 密 钥 类 型 和 密 钥 属 性 都 是 外 部 可 用 的 。 

2) 密 钥 缓 存 管理 

TPM 外 部 接口 允许 外 部 的 程序 管理 TPM 中 受 限 的 存储 资源 。 管 理 功能 不 同 于 应 
用 功能 ,区 别 在 于 缓存 密 钥 的 能 力 和 使 用 密 钥 的 能 力 。KCM 通常 只 关心 缓存 密 钥 ,而 
应 用 程序 关心 的 是 密 钥 的 使 用 。 一 个 值得 注意 的 例外 是 用 于 保护 其 他 密 钥 的 存储 密 
钥 。KCM 控制 存储 密 钥 的 缓存 和 使 用 。 即 使 在 平台 不 是 期 望 的 配置 情况 下 ,密封 于 
特定 平台 配置 的 密 钥 也 要 装载 。 这 支持 就 绪 状 态 之 间 转 换 平台 的 灵活 性 ,并 不 影响 它 
获取 所 需 密 钥 的 能 力 。 维 护 了 安全 性 ,因为 配置 在 每 次 使 用 时 检查 ,因此 装载 时 不 用 
检查 。 

在 图 11-5 中 ,KCM 是 一 个 外 部 程序 ,负责 密 钥 在 TPM 中 可 变 密 钥 存储 区 和 不 可 变 
外 部 存储 设备 之 间 的 转移 。KCM 追踪 可 用 的 密 钥 并 决定 何 时 适合 去 除 一 个 密 钥 和 用 另 
一 个 取代 。 在 密 钥 时 间 片 用 完 或 应 用 程序 需要 使 用 一 个 特定 的 密 钥 时 ,TPM 并 不 提前 通 
知 。 这 样 ,应 用 程序 可 能 需要 通知 KCM ,在 这 种 事件 发 生 或 KCM 需要 实现 一 个 TPM 接 
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口 层 (应 用 程序 获得 TPM 服务 ) 时 。 

TPM 提供 接口 准备 在 TPM 和 存储 设备 之 间 传 递 密 钥 ,任何 时 候 KCM 都 不 会 清楚 
地 提交 密 钥 ,KCM 可 以 实现 检索 .存储 和 查找 。KCM 上 的 Blobs 管理 存储 设备 ,也 包括 
通行 证 的 管理 。 


和 1 ”基于 TPM/TCM 的 可 信 操 作 系统 技术 


1999 年 我 国 发 布 的 国家 标准 GB 17859 一 1999《 计 算 机 信息 系统 安全 保护 等 级 划分 
准则 》 不 仅 总 结 了 我 国 从 1990 年 逐步 开始 的 安全 操作 系统 研发 的 成 果 , 从 某 种 程度 上 反 
映 当 时 我 国信 息 系 统 安 全 ,操作 系统 安全 研究 的 水 平 , 而 且 随后 促进 了 我 国 在 该 领域 的 进 
一 步 发 展 。 目 前 , 随 着 国际 上 可 信 计 算 技术 的 提出 ,相关 产业 标准 的 研究 和 发 展 ,对 基于 
可 信 计 算 平台 TPM TCM 的 安全 操作 系统 研究 也 提出 了 新 的 课题 。 尤 其 是 电子 商务 . 电 
子 政务 .个 人 和 企业 的 电子 服务 行业 的 发 展 , 促 使 对 客户 端的 安全 性 和 可 信 性 要 求 变 得 越 
来 越 重要 。 学 术 界 提出 在 可 信 计 算 平台 上 建立 安全 操作 系统 ,并 对 操作 系统 做 出 必要 的 
扩展 安全 功能 ,不 仅 能 够 在 封闭 式 系统 环境 中 获得 安全 保证 ,而 且 可 以 在 开放 式 的 系统 和 
网 络 应 用 环境 中 获得 新 的 安全 属性 和 信任 保证 ,从 而 为 异 构 性 和 移动 性 特点 的 各 种 商用 
网 络 环境 下 的 客户 平台 之 间 的 信任 交互 提供 良好 的 技术 支持 和 研究 基础 。 
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主流 操作 系统 最 大 的 局 限 性 在 于 它 只 实施 一 种 基于 身份 的 自主 安全 策略 而 不 是 强制 
安全 策略 。 在 一 个 DAC 系统 中 ,对 执行 环境 的 控制 使 得 用 户 可 以 破坏 应 用 客户 的 安全 
策略 实施 机 制 ,系统 属 主 可 以 运行 特权 软件 (例如 一 个 修改 的 设备 驱动 ) 访 问 应 用 客户 的 
内 存 空 间 。 一 个 基于 MAC 的 系统 (例如 基于 DTE) ,配置 MAC 策略 可 使 应 用 客户 的 内 
存 空 间 不 被 访问 ,即使 通过 操作 系统 的 其 他 部 分 也 不 能 访问 。 如 果 应 用 服务 商 可 以 评估 
MAC 策略 配置 以 确定 它 实 施 了 应 用 客户 之 间 的 隔离 ,就 可 以 建立 应 用 客户 对 许可 能 力 
实施 的 可 信和 度 , 基 于 应 用 层 的 实施 措施 不 能 被 算 改 或 绕 过 , 它 的 地 址 空间 也 不 能 被 其 他 特 
权 进 程 通过 拷贝 其 内 容 而 被 窃取 。MAC 可 以 通过 严格 的 控制 主客 体 之 间 的 信息 流动 保 
证 良好 的 策略 实施 。MAC 依赖 于 一 个 引用 监控 器 负责 实施 该 策略 。 引 用 监控 器 仲裁 对 
系统 资源 和 数据 的 每 一 次 访问 ,决定 是 否 该 访问 与 策略 期 望 的 相符 。 为 了 确保 每 次 访问 
被 仲裁 ,必须 保证 引用 监控 器 不 可 绕 过 。 引 用 监控 器 也 要 求 防 算 改 以 确保 一 个 黑客 不 会 
破坏 或 影响 它 的 访问 决策 。 最 后 , 它 需要 足够 小 以 便 通 过 分 析 和 测试 得 到 验证 。 这 些 属 
性 可 以 由 硬件 保护 机 制 和 与 之 一 致 的 软件 来 获得 ,软件 和 硬件 的 总 和 负责 实施 可 信 计 算 
基 TCB 安全 策略 。 
主流 操作 系统 中 还 有 一 个 关键 的 弱点 是 没有 实施 最 小 特权 原则 。 为 了 获得 最 小 特 
权 ,一 个 系统 需要 表达 和 实施 细 粒 度 的 访问 权 。 目 前 主流 操作 系统 中 的 特权 与 特定 的 用 
户 标识 绑 定 ,因而 是 基于 用 户 身 份 的 。 结 果 , 一 个 用 户 拥有 的 特权 授予 了 每 个 以 该 用 户 身 
份 运行 的 程序 ,没有 提供 有 效 的 机 制 减 少 可 获 特权 是 真正 所 需 的 那些 特权 。 更 糟糕 的 是 ， 
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主流 操作 系统 中 只 有 两 类 用 户 : root 用 户 或 超级 用 户 .普通 用 户 。 超 级 用 户 、 具 有 超级 用 
户 特权 的 进程 不 受 访问 控制 ,就 好 像 不 存在 访问 监控 器 一 样 。 这 种 操作 系统 体系 结构 给 
应 用 程序 带 来 了 严重 的 问题 ,因为 平台 属 主 显然 可 以 访问 超级 用 户 账 号 。 不 进行 访问 控 
制 ,一 个 应 用 客户 的 策略 无 法 对 其 超级 用 户 进行 实施 ,明文 内 容 也 不 能 得 到 可 靠 的 保护 。 
最 小 特权 原则 和 MAC 机 制 可 靠 地 控制 了 操作 系统 内 的 信息 流 , 并 有 效 加 强 了 域 的 限制 。 
基于 开放 计算 平台 的 应 用 客户 不 能 成 功 地 维护 安全 属性 ,因为 没有 引用 监控 器 提供 的 限 
制 和 信息 流 控制 。 

此 外 ,主流 操作 系统 上 还 存在 一 种 设备 驱动 带 来 的 问题 , 即 驱 动 必须 完全 可 信 但 不 保 
证 值得 信赖 。 了 驱动 被 裁减 出 来 与 特定 的 硬件 (如 声卡 或 图 像 卡 ) 绑 定 , 所 以 通常 由 硬件 厂 
商 提 供 , 这 就 产生 了 信任 问题 。Solomon and Russinovich(2000) 曾 指出 :“ 设 备 驱 动 可 以 
完全 地 访问 系统 内 存 空 间 , 绕 过 Windows 2000 客体 访问 的 安全 性 ”。 所 以 设备 驱动 代码 
与 应 用 程序 代码 类 似 是 源 于 它 由 一 定 厂商 提供 ,但 又 是 有 效 的 操作 系统 代码 ,因为 它 可 以 
不 受 限 地 访问 系统 资源 。 再 者 ,设备 驱动 可 以 运行 时 动态 加 载 ,因此 一 个 恶意 的 或 有 
BUG 的 驱动 可 能 被 利用 ,从 而 危害 密 钥 和 受 保护 的 内 容 。 由 可 信 厂 商 提 供 一 个 进行 数字 
签名 的 驱动 是 解决 该 问题 的 通用 方法 ,遗憾 的 是 ,这 只 是 一 种 局 部 性 的 解决 方案 ,因为 驱 
动 大 而 且 复 杂 ,以 至 无 法 评估 它们 是 否 包 含 可 被 利用 的 bugs 或 非 期 望 的 行为 ,很 难 获得 
一 个 合理 的 保证 级 。 签 名 并 不 能 保证 正确 的 操作 ,也 很 难保 证 签名 验证 机 制 的 完整 性 和 
保证 签名 人 的 公 钥 受到 了 保护 。 

早期 的 可 信 系 统 / 安 全 操作 系统 ,如 Multics, 基 于 一 种 硬件 强制 执行 域 ( 称 为 环 - 
rings) 的 层次 处 理 设备 驱动 的 信任 问题 。 基 于 Multics 的 方法 ,Intel x86 处 理 器 (从 286 
起 ) 支 持 基 于 环 的 保护 体系 结构 。x86 的 硬件 体系 结构 能 够 支持 更 高 安全 和 可 信赖 的 操 
作 , 如 果 被 正确 采用 ,基于 环 的 体系 结构 和 细 粒 度 的 内 存 段 可 以 达到 硬件 级 的 域 隔离 和 限 
制 。 遗 憾 的 是 , 除 GEMSOS OS 等 个 别 系统 ,x86 的 这 些 属性 几乎 没有 被 用 于 主流 通用 操 
作 系 统 的 设计 当中 。 主 流 操作 系统 只 用 了 最 大 (系统 环 ) 和 最 小 的 特权 环 ( 用 户 环 ) 。Intel 
公司 最 近 公布 了 一 个 新 的 处 于 ring-1 的 芯片 设计 , 源 于 微软 提出 一 种 新 的 NGSCB 可 信 
计算 体系 结构 ,要 求 一 个 更 高 级 别 的 特权 ,使 得 可 以 在 ring-0 的 内 部 实现 域 的 隔离 。 

总 之 ,主流 操作 系统 缺乏 保护 数据 和 支持 权限 实施 的 基本 属性 ,不 实施 强制 访问 策 
略 , 不 遵循 最 小 特权 原则 ,增加 了 软件 bugs 和 特权 带 来 的 威胁 。 此 外 ,特权 代码 的 数量 及 
其 复杂 性 (包括 设备 驱动 ) 表 明 不 可 能 获得 一 个 平台 所 要 遵循 的 合理 保证 级 。 基 于 签名 的 
代码 和 驱动 的 信任 机 制 也 不 能 改变 该 状况 ,问题 同样 出 在 访问 控制 模型 和 操作 系统 体系 
结构 上 。 
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TCG 组 织 的 TPM 规范 以 及 我 国 自主 的 TCM 规范 已 经 成 为 安全 操作 系统 研究 的 核 
心 , 因 为 它 定 义 了 对 操作 系统 引导 的 要 求 。 但 是 ,平台 的 操作 系统 如 果 不 支 持 TPM/ 
TCM 硬件 ,一 个 多 任务 操作 系统 就 不 能 有 效 实现 TPM/TCM 的 功能 ,尤其 是 远程 认证 
和 密封 存储 等 功能 ,而 且 TPM/TCM 的 完整 性 验证 方法 也 不 能 代替 操作 系统 的 安全 体系 
结构 。 
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以 经 典 的 数字 化 权利 管理 (digital rights management,DRM) 中 一 个 数字 化 内 容 投 递 
场景 为 例 , 此 时 一 个 基于 TCG 的 DRM 客户 平台 希望 连接 一 个 数字 化 内 容 的 服务 商 , 以 
下 载 和 随后 观看 一 个 电影 。 在 支付 交易 过 程 中 ,服务 商 传递 该 电影 的 加 密 拷 贝 和 一 个 单 
独 的 观看 许可 权 给 客户 ,该 许可 权 中 禁止 拷贝 .修改 和 传输 到 其 他 平台 。 基 于 TCG 属性 
的 建立 ,该 服务 商 采取 了 多 个 步骤 来 确保 客户 平台 上 的 策略 实施 机 制 的 完整 性 。 完 整 性 
标识 该 平台 可 靠 实 施 其 许可 权 管理 的 能 力 ,决定 和 保持 这 种 完整 性 必须 满足 以 下 三 种 验 
证 要 求 : 

(1) 服务 商 要 求 客户 平台 通过 远程 证 实 来 建立 ,以 证 明 它们 是 依据 TCG 原则 引导 
的 。 服 务 商 访问 的 是 被 引导 的 软件 环境 而 不 是 一 组 可 信和 组件, 保证 客户 被 导入 一 种 可 信 
(2) 服务 商 必须 确保 在 引导 之 后 、 对 远程 证 实 初 始 化 之 前 ,客户 没有 执行 非 可 信 
软件 。 

(3) 服务 商 必须 确保 远程 认证 时 客户 运行 的 是 可 信和 软件 ,不 能 执行 非 可 信和 软件 使 受 
保护 的 内 容 被 访问 或 浏览 。 

要 求 (1) 是 不 证 自明 的 ,但 TCG 设计 是 基于 一 个 假设 : 如 果 PCR 寄存 央 与 一 个 被 信 
任 方 期 望 的 值 匹 配 / 一 致 ,该 系统 是 可 信 的 。 期 望 值 必须 是 已 知 的 安全 配置 ,所 以 真实 存 
在 一 个 安全 的 或 可 信 的 配置 ,而 且 该 配置 因为 其 可 信赖 性 而 可 信 。 但 这 种 假设 在 主流 操 
作 系 统 中 无 法 成 立 ,因为 系统 的 复杂 性 和 体系 结构 都 无 法 提供 这 种 完整 性 保证 。TCG 不 
能 解决 代码 质量 或 操作 系统 体系 结构 问题 ,是 TCG 可 信 计 算 模型 中 关键 但 又 易 被 忽视 
的 的 一 种 局 限 性 。 

要 求 (2) 和 (3) 反 映 了 这 样 一 个 事实 , 即 运行 主流 操作 系统 的 平台 完整 性 依赖 于 它 的 
运行 行为 。 一 个 理论 上 可 信赖 的 状态 立即 再 次 导入 不 能 保证 完整 性 被 维持 ,因为 执行 再 
次 导入 的 软件 会 影响 平台 的 完整 性 。 比 如 ,一 个 动态 加 载 的 内 核 模块 .设备 驱动 程序 或 特 
权 应 用 程序 ,可 以 在 任何 时 间 执 行 和 违背 这 些 保护 需求 。 这 种 情况 是 完全 可 能 的 ,因为 没 
有 在 运行 于 最 高 特权 级 的 进程 之 间 和 进程 内 部 对 信息 流 实施 强制 控制 。 

为 了 支持 要 求 (2) 和 (3) ,操作 系统 本 身 需要 修改 ,加 入 一 个 度量 功能 , 它 可 取出 可 执 
行 代 码 和 任何 系统 的 配置 数据 或 启动 之 前 的 用 户 级 进程 的 特征 信息 。Sailer 等 于 
2004 年 提出 一 种 Linux 系统 “基于 TCG 的 完整 性 度量 体系 结构 ”, 他 们 描述 了 对 操作 系 
统 进行 的 多 处 修改 ,描述 了 对 可 能 影响 平台 完整 性 的 代码 和 数据 载 和 过 程 进 行 初始 化 的 
一 些 功 能 设施 。 在 一 个 没有 实施 最 小 特权 原则 、 基 于 DAC 的 操作 系统 中 ,有 许多 度量 功 
能 必须 调用 , 较 简 单 的 包括 装载 内 核 模 块 ,动态 可 装载 库 和 用 户 级 可 执行 程序 ,其 他 难以 
预测 的 有 脚本 解释 器 、 虚 拟 机 、( 如 java 的 类 载 人 器 ) 特 权 应 用 程序 和 网 络 服务 。 该 设施 
比较 简单 , 它 要 求 在 代码 执行 之 前 立即 调用 一 个 hash and store 功能 。 问 题 是 要 确保 所 
有 代码 (尤其 是 特权 应 用 程序 代码 ) 被 设置 具有 实际 困难 ,一 方面 涉及 产权 的 应 用 程序 源 
代码 并 不 是 总 能 获取 , 另 一 方面 是 软件 投资 商 可 能 没有 或 无 法 对 现 有 所 有 软件 发 布 进行 
设置 的 新 版 本 。 证据 表 明 , 对 所 有 脚本 解释 器 、 虚 拟 机 、 实 时 编译 器 和 特权 应 用 程序 进行 
设置 不 现实 ,也 影响 了 整个 方法 的 可 行 性 。 

要 求 (3) 是 最 具有 挑战 性 的 ,因为 它 要 求 PCR 值 始 终 反映 当前 的 配置 。 因 此 ,要 验证 
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任何 一 个 进程 的 完整 性 ,其 他 所 有 的 进程 必须 被 度量 ,因为 一 个 进程 的 完整 性 可 能 在 任何 
时 刻 被 违背 ,一 次 认证 只 在 上 一 次 度量 当时 有 意义 ,到 认证 方 评估 过 一 个 认证 响应 后 , 完 
整 性 状态 可 能 已 经 发 生 了 实质 性 的 改变 。 该 认证 方 无 法 知道 这 是 否 发 生 ,除非 它 继续 再 
次 认证 该 平台 ,这 是 一 种 非常 无 效 和 不 令 人 满意 的 选择 , 即 在 任何 情况 下 ,只 能 提供 逆向 
保证 。 

这 个 问题 也 影响 了 密封 存储 功能 ,如 在 一 个 受 保护 的 加 密 密 钥 发 给 操作 系统 时 ,该 
平台 原本 处 于 密封 存储 中 的 一 个 策略 配置 (反映 在 所 需 的 PCR 值 中 ) 下 ,但 这 个 配置 可 
能 随后 就 会 发 生 改 变 ( 例 如 ,在 同一 个 引导 周期 内 ), 从 而 给 密 钥 和 加 密 的 密 文 带 来 
风险 。 

在 缺乏 MAC 域 限 制 的 情况 下 ,需要 一 种 可 靠 的 方法 使 该 平台 吊销 它 的 可 信 状 态 ,并 
且 在 出 现 完 整 性 改变 时 立即 从 内 存 中 清除 受 保护 的 内 容 或 密 钥 。 最 大 的 困难 在 于 如 何 从 
一 个 完整 性 保持 状态 中 区 分 出 这 种 改变 ( 它 将 导致 可 信 状 态 的 吊销 ), 该 问题 的 难点 在 于 
怎样 处 理 PCRs 中 加 入 的 不 可 识别 的 信息 。 

因此 ,根据 TPM/TCM 硬件 特点 ,基于 TPM/TCM 平台 的 安全 操作 系统 体系 结构 应 
该 主要 包括 信任 链 传递 .完整 性 度量 、 远 程 证 实 、 私 密 性 保护 等 核心 技术 ,下 面 将 针对 这 三 
个 技术 领域 的 研究 现状 与 发 展 趋势 展开 讨论 。 


1143 可 信和 操作 系统 的 核心 技术 


1. 信任 链 传递 
一 个 平台 的 可 信 性 与 硬件 的 防 自 改 能 力 和 可 信 操 作 系 统 的 安全 性 保证 一 致 。 在 基于 
可 信 平 台 的 安全 操作 系统 ,需要 建立 新 的 内 核 安全 模块 ,向 上 层 可 信 组 件 传递 信任 关系 。 
综 上 所 述 ,新 的 内 核 安全 模块 有 必要 完成 以 下 功能 : 


。 操 作 系 统 装载 时 进行 完整 性 验证 ; a Ta 
。 运 行 时 为 所 有 文件 进行 完整 性 验证 ; 和 
。 实 施 强制 访问 控制 的 完整 性 验证 。 SLIM 
如 图 11-9 所 示 , 为 了 完成 信任 链 的 传递 ,一 个 可 正常 检查 
信 的 安全 操作 系统 由 TPM 引导 之 后 ,先后 通过 扩展 
验证 模块 EVM .简单 完整 性 模块 SLIM 和 正常 检查 模 
块 来 执行 。 各 模块 功能 为 ， 了 天 呈 安全 指 作 系 和 的 


(1) TPM 验证 内 核 和 初始 化 守护 进程 的 设备 驱 人 


动 的 完整 性 ,并 发 布 内 核 密 钥 K。 具 体 包 括 : 

。 TPM 通过 内 核 或 系统 初始 化 守护 进程 度量 引导 过 程 的 完整 性 ; 

。 在 初始 化 守护 进程 的 引导 过 程 中 ,用 户 提供 密封 的 内 核 密 钥 和 鉴别 密码 PW; 

。 如 果 TPM 度量 相 匹配 .密码 相 符 ,TPM 发 布 一 个 密 钥 K; 

。 主 密 钥 K 用 于 产生 许多 子 密 钥 ,加 密 用 户主 目录 分 区 和 对 鉴别 文件 属性 进行 
检查 。 

(2) EVM 对 扩展 的 属性 和 数据 进行 鉴别 。 具 体 包括 : 

。 扩展 的 文件 属性 ; 
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。 文件 的 哈 希 值 ; 

。 强制 访问 控制 标签 ; 

。 版 本 信息 ; 

。 抗 病毒 状态 值 。 

(3) SLIM 模块 支持 多 种 强制 访问 控制 ,例如 Bell and LaPadula 基于 机 密 性 的 强制 
访问 控制 Biba 基于 完整 性 的 强制 访问 控制 .简化 管理 的 Lomac 低 水 印 完整 性 和 
Caernarvon 改进 的 Biba 完整 性 模型 的 控制 等 。 具 体 任务 是 : 

。 对 所 有 的 文件 都 标识 完整 性 和 机 密 性 标签 ; 

。 依据 强制 访问 控制 规则 进行 访问 控制 检查 ; 

。 对 权限 进行 细 粒 度 的 分 割 ,满足 最 小 特权 原则 ; 

。 标识 由 EVM 验证 过 的 可 信 进 程 ,允许 其 执行 期 望 的 超越 行为 。 

(4) 如 果 系 统 功能 的 正常 检查 通过 , 则 认为 操作 系统 正常 地 传递 了 信任 链 。 


2 完整 性 度量 
在 TCG 远程 认证 协议 中 ,被 认证 的 平台 发 送 当前 PCR 值 和 产生 这 些 值 的 特征 信 
息 日 志 , 认 证 方 可 以 通过 该 日 志 决 定 是 否 信任 由 杂凑 链 中 每 个 度量 值 标识 的 组 件 。 为 
了 识别 对 日 志 的 算 改 ,要 重新 计算 该 链 以 确保 它 产生 这 个 报告 的 PCR 值 。 从 认证 方 来 
看 ,日 志 中 出 现任 何不 可 识别 的 特征 信息 都 将 导致 平台 的 不 可 信 , 未 知 的 特征 信息 可 
能 是 一 个 恶意 组 件 的 特征 信息 ,如 一 个 修改 过 的 设备 驱动 或 一 个 提供 具有 某 装置 的 程 
序 相同 功能 但 没有 装置 的 程序 ,如 一 个 内 核 模块 装载 器 可 能 通过 加 载 PCR 值 中 没有 反 
映 出 来 的 恶意 代码 违背 平台 的 完整 性 。 这 里 引入 一 个 问题 , 即 是 否 不 可 识别 的 特征 信 
息 可 以 由 一 个 可 信 平 台 合法 地 预期 。 遗 憾 的 是 ,由 于 松散 组 织 的 数据 (包括 脚本 化 的 
文件 .配置 文件 等 ) 必 须 提 取 有 关 特 征 信息 ,所 以 这 种 特征 信息 非常 可 能 出 现 。 这 十 分 
必要 ,因为 一 个 程序 的 运行 行为 通常 由 启动 时 分 离 出 来 的 配置 文件 决定 ,而 且 一 旦 运 
行 ,该 数据 就 成 为 了 输入 。 因 此 ,访问 可 执行 代码 的 完整 性 影响 , 它 的 输入 必须 被 度 
量 。 在 TCG 体系 结构 上 下 文中 对 半 结 构 化 或 非 结构 化 输入 数据 的 度量 很 难 解决 ,因为 
它们 并 没有 像 静 态 代码 一 样 提取 特征 信息 进行 完整 性 验证 。 这 种 非 执 行文 件 可 能 含 
有 细微 的 差别 ,如 额外 的 空白 字符 ,注释 或 以 不 同 顺序 排列 的 相同 元 素 , 对 完整 性 没有 
影响 。 但 是 ,任何 这 样 的 差别 会 产生 完全 不 同 的 特征 信息 。 在 真实 的 世界 中 ,这 种 差 
别 正如 用 户 通过 配置 文件 裁减 系统 行为 以 满足 各 自 的 需求 一 样 是 可 预期 的 。 没 有 受 
访问 度量 过 的 文件 本 身 , 认 证 方 无 法 决定 是 否 一 个 不 可 识别 的 特征 信息 是 由 半 结 构 化 
的 文件 无 关 的 格式 差别 所 导致 的 ,而 不 是 一 个 恶意 组 件 或 非 装 置 的 组 件 装载 器 。 基 于 
哈 希 算法 的 完整 性 度量 对 可 执行 代码 适用 ,但 用 于 半 结 构 化 数据 就 不 行 ,事实 证 明 这 
使 得 整个 方法 都 成 问题 。 
这 种 推理 思路 同样 适用 于 TCG 的 密封 存储 属性 。 我 们 注意 到 密封 存储 允许 受 保护 
密 钥 的 发 布 在 PCR 寄存 器 当前 状态 与 预定 义 和 可 信 值 相 匹配 上 是 有 条 件 的 。PCR 哈 希 
链 中 出 现 未 知 度量 值 的 出 现 将 致使 一 个 封装 的 客体 不 可 被 访问 。 软 件 或 硬件 配置 上 的 改 
变 会 引入 新 的 度量 值 ( 如 VCD 的 升级 )。 主 流 操作 系统 对 受 保护 数据 的 密封 存储 方法 不 
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实用 ,原因 有 两 个 : 一 个 原因 关系 到 有 序 PCRs 值 。 根 据 哈 希 链 ,元 素 链 顺 序 决 定 最 终 的 
输出 值 。 因 此 ,为 了 访问 一 个 封装 的 客体 ,一 个 PCR 中 加 入 的 所 有 特征 信息 必须 是 可 信 
的 ,而 且 它 们 必须 精确 地 链接 在 一 起 ,顺序 与 在 客体 加 密 时 生成 的 PCR 值 的 顺序 相同 。 
在 主流 操作 系统 中 ,PCR 扩展 值 的 顺序 由 操作 系统 载 和 人 器 确定 。 之 后 ,顺序 依赖 于 单个 
的 运行 行为 ,因为 操作 系统 内 核 会 不 断 引发 多 个 可 能 是 多 线程 的 并 发 进程 ,在 一 个 这 样 的 
多 任务 环境 ,执行 顺序 是 不 确定 的 。 第 二 个 原因 是 密封 存储 对 维护 所 有 可 执行 代码 载 入 
之 前 必须 度量 的 完整 性 不 实用 。 这 表明 在 新 的 应 用 程序 运行 时 PCRs 在 继续 扩展 。 因 
此 ,在 典型 的 应 用 中 它们 无 法 稳定 地 预测 值 。 这 个 问题 可 以 得 到 改进 ,方法 是 将 一 个 客体 
与 仅 反映 引导 早期 阶段 的 一 组 PCR 值 封装 。 这 更 可 能 产生 密封 存储 所 需 的 确定 性 结果 
问题 。 但 无 法 捕获 后 导入 平台 配置 的 变化 ,如 内 核 模块 的 载 人 可 能 大 大 影响 完整 性 。 主 
流 操作 系统 中 远程 认证 和 密封 存储 的 不 实用 性 是 一 个 严重 的 不 足 。 它 强调 了 这 样 一 个 事 
实 , 即 TCG 组 件 块 不 能 弥补 操作 系统 体系 结构 上 的 缺陷 所 带 来 的 问题 。 安 全 客户 不 能 
用 于 多 任务 操作 系统 , 它 无 法 提供 互 不 信任 和 潜在 敌对 的 进程 间 的 隔离 和 限制 ,TCG 组 
件 的 应 用 也 没有 改变 这 样 一 个 事实 。Sailer et al. ,(2004) 声 称 :“ 微 软 NGSCB 的 许多 保 
证 可 以 通过 现在 的 硬件 和 软件 获得 ,并 且 这 些 保 证 不 要 求 一 种 新 的 CPU 模式 或 操作 系 
统 , 而 只 是 依靠 一 个 独立 可 信和 实体 的 可 用 性 ,如 TPM.” 事 实 上 ,尽管 许多 保证 是 可 能 的 ， 
但 是 很 重要 的 几 个 保证 (也 不 一 定 由 NCSGB 提交 ) 无 法 获得 ,因为 一 个 可 信和 系统 的 关键 
因素 必须 由 映射 到 CPU 基于 硬件 的 保护 结构 与 操作 系统 联合 一 起 实施 ,不 能 完全 由 扩 
展 的 硬件 提供 。 

仅 将 TCG 组 件 加 入 操作 系统 不 会 产生 一 个 传统 意义 上 的 可 信 系 统 , 因 为 它 并 没有 
引入 可 信 路 径 或 引用 监控 器 ,也 没有 改变 因 不 符合 最 小 特权 原则 造成 的 问题 。TPM 允许 
完整 性 度量 以 可 信 的 方式 存储 但 没有 提供 任何 机 制 阻止 完整 性 的 背离 。 确 实 , 它 允 许 已 
知 的 安全 软件 版 本 由 特征 信息 识别 , 它 也 为 密 钥 的 存储 提供 了 一 个 更 安全 的 环境 ,尤其 是 
非 对 称 签名 密 钥 ,但 是 ,有 效 的 域 限制 和 强制 访问 控制 是 可 信 计 算 环境 下 进行 访问 控制 的 
根本 需求 。 因 此 ,将 TCG 组 件 用 于 实施 自主 访问 控制 的 主流 操作 系统 可 获取 的 安全 优 
势 有 价值 但 价值 不 大 。 

TCG 组 件 与 基于 MAC 的 操作 系统 (如 SELinux) 结 合 比 与 基于 DAC 的 操作 系统 结 
合 具 有 更 大 的 优点 ,这样 可 以 使 密封 存储 和 远程 证 实 更 实用 。 在 一 个 基于 MAC 的 系统 ， 
一 个 认证 方 需要 验证 安全 策略 的 解释 和 实施 机 制 的 完整 性 、 策 略 配 置 本 身 和 客户 应 用 程 
序 。 如 果 这 些 组 件 可 信 地 实施 了 客户 隔离 ,就 不 再 需要 由 度量 来 建立 客户 的 完整 性 ,因此 
避免 了 DAC 体系 结构 中 不 实用 的 度量 机 制 。 完 整 性 保证 基于 隔离 原则 ,所 以 不 必 详 细 
地 度量 其 他 装载 的 可 执行 文件 和 配置 数据 。 

3 远程 证 实 

传统 可 信 系 统 中 的 可 信 路 径 机 制 的 目的 是 保证 用 户 与 系统 真实 的 可 信 计 算 基 TCB 
进行 通信 ,保障 本 地 以 及 远程 用 户 / 客 户 标识 和 鉴别 过 程 的 安全 性 和 可 信 性 。 可 信 路 径 可 
为 其 他 安全 机 制 提 供 保障 ,其 本 身 的 实施 也 需要 其 他 安全 机 制 的 支持 。 例 如 ,可 信 路 径 机 
制 需 要 通过 完整 性 保护 机 制 来 保证 其 自身 不 被 自 改 ,进而 保证 自身 的 可 信 性 。 如 果 没 有 
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完整 性 保护 机 制 ,可 信和 路 径 的 “可 信 ” 程 度 将 大 大 降低 。 操 作 系 统 的 各 种 安全 机 制 是 一 个 
整体 ,可 信和 路 径 机 制 起 到 一 个 安全 “ 门 ”* 的 作用 ,通过 这 道 安全 门 用 户 访问 的 是 可 信 计 
算 基 。 

在 对 远程 证 实 分 析 中 可 以 看 到 ,需要 在 服务 器 端 采用 文件 完整 性 保护 机 制 来 保证 
远程 登录 服务 程序 的 完整 性 。 如 果 将 远程 登录 服务 程序 纳入 可 信 计 算 平台 的 度量 体 
系 中 ,无 论 是 作为 可 信和 组 件 还 是 作为 应 用 程序 ,通过 可 信 计 算 平台 的 信任 传递 机 制 就 
可 以 对 其 可 信 性 提供 保证 ,进而 可 以 节省 额外 的 完整 性 证 实 的 系统 消耗 。 由 于 可 信 计 
算 技术 的 使 用 ,使 计算 机 系统 的 完整 性 得 到 很 好 的 保障 ,系统 可 信 程 度 得 到 很 大 的 提 
高 ,尤其 是 如 果 部 署 信任 传递 技术 ,就 可 以 在 很 大 程度 上 降低 应 用 软件 遭受 恶意 算 改 
的 风险 ,并且 也 可 以 减少 病毒 和 木马 的 侵害 。 同 时 ,本 地 可 信 路 径 的 应 用 层 软 件 需要 
得 到 完整 性 保护 ,而 可 信 计 算 平台 恰恰 可 以 很 好 地 达到 要 求 。 但 远程 证 实 也 面临 一 些 
问题 ; 

。 运行 于 可 信和 平台 上 的 程序 如 何 相互 鉴别 ,这 种 鉴别 方式 可 以 确保 每 一 方 满足 一 些 

安全 标准 ,同时 又 能 为 各 种 各 样 的 实现 方式 留 下 足够 的 空间 。 

。 当前 的 客户 机 -服务 器 网 络 计 算 模 式 假定 一 个 可 信 的 服务 器 ,和 不 可 信 的 (甚至 

是 恶意 的 ) 客 户 端 。 这 样 ,即使 大 比例 的 工作 都 是 由 客户 端 完成 ,而 所 有 的 信任 

却 驻扎 在 服务 器 端 。 我 们 能 够 设计 出 好 的 证 实 协议 工作 在 灵活 划分 的 信任 环 

境 中 吗 ? 

。 剔除 拥有 完全 信任 的 服务 器 和 完全 不 可 信 的 客户 端 这 样 的 一 个 模型 ,设计 怎样 的 

模型 和 该 模型 的 应 用 ,使 其 能 够 以 一 种 更 加 灵活 和 动态 的 方式 达成 信任 关系 ? 

目前 有 一 些 比 较 不 错 的 方法 ,如 携带 证 据 的 代码 、 类 型 化 的 汇编 语言 TAL .内 联 执行 
监控 器 和 信息 流 类 型 系统 等 。 这 些 技术 可 以 划分 为 两 大 类 : 程序 重 写 和 程序 分 析 。 程 序 
分 析 柳 盖 各 种 技术 ,它们 都 是 试图 静态 地 检查 程序 与 一 个 安全 策略 的 一 致 性 。 例 如 类 型 
安全 编程 和 基于 类 型 的 安全 性 方法 一 一 TAL。 编 程 重 写 是 通过 重 写 程序 保持 与 安全 策 
略 的 一 致 性 达到 实施 安全 策略 的 一 种 互补 性 的 技术 ,内 联 安全 监控 器 是 这 种 技术 的 一 个 
实例 。 


4 私密 性 保护 

远程 证 实 特别 提示 : 一 个 平台 配置 的 细节 可 能 足以 区 分 不 同 的 平台 ,以 及 通过 不 同 
的 会 话 辨别 出 相同 的 平台 。 特 别 是 DAC 实施 体系 结构 中 ,TCG 规范 中 详细 给 出 了 私密 
性 保护 机 制 。 微 软 提出 的 下 一 代 安 全 计算 基 CNGSCB) 提 供 了 一 类 新 型 的 安全 计算 技术 ， 
可 以 被 各 种 应 用 或 解决 方案 采纳 ,特别 是 它 是 一 种 能 够 实现 私密 性 保护 最 有 效 的 平台 。 
在 此 ,私密 性 的 定义 是 : 一 个 PC 的 属 主 或 者 用 户 能 够 决定 标识 其 身份 的 哪些 信息 、 在 何 
时 可 以 被 公开 。 

作为 一 种 技术 , NGSCB 并 没有 规定 固定 的 策略 , 相反 , 它 能 够 支持 各 种 策略 。 
NGSCB 是 一 组 未 确定 原 语 或 技术 构件 ,它们 设计 灵活 ,可 适应 广泛 的 需求 。 设 计 
NGSCB 的 一 个 特别 考虑 就 是 确保 它 能 够 保持 私密 性 和 促使 策略 的 实施 ,因而 支持 新 类 
型 私密 性 保护 的 开发 。 
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由 计算 设备 负责 的 策略 必须 仔细 权衡 。 多 数 情况 下 ,策略 由 机 器 属 主 ( 可 能 是 机 器 
用 户 ) 定 义 。 如 一 个 公司 员工 正在 使 用 公司 的 台式 计算 机 ,公司 (机 器 属 主 ) 的 策略 可 
以 取代 员工 的 策略 。NGSCB 没有 对 体系 结构 要 求 或 策略 实现 限制 给 出 强制 的 要 求 。 
对 策略 的 决策 留 给 了 机 器 属 主 ( 谁 可 以 或 不 可 以 授予 最 终 用 户 指定 策略 ) ,并 且 受 合 
需求 的 影响 。 

TPM 包含 着 一 个 私 钥 ,任何 时 候 它 都 不 能 由 操作 系统 里 运行 的 软件 获取 ,只 是 在 实 
例 化 NGSCB 环境 和 为 连接 提供 服务 时 使 用 。 

在 一 个 NGSCB 计算 机 中 ,即使 TPM 上 的 公 钥 也 必须 是 安全 的 ,以 防 意外 的 信息 泄 
露 或 未 授权 访问 。 公 钥 只 能 由 机 器 属 主 明确 信任 (信任 是 由 用 户 采 取 公 开 的 行为 运行 该 
软件 时 建立 的 ) 的 软件 获取 。 可 信和 软件 才能 实现 由 机 器 属 主 决定 的 策略 ,这 些 策略 控制 其 
他 客户 、 服 务 器 或 服务 对 该 计算 机 公 钥 的 访问 。 

对 比 多 数 公 钥 系统 ,在 一 个 NGSCB 系统 中 , 公 钥 不 是 可 以 任意 获取 的 。 这 种 设计 的 
实现 阻止 随意 地 在 Internet 上 通过 公 钥 追踪 用 户 或 计算 机 。 

TPM 上 的 密 钥 何 时 或 怎样 生成 依赖 于 TPM 的 制造 。 厂 商 应 该 可 以 选择 让 TPM 生 
成 自己 唯一 的 密 钥 对 ,其 中 私 钥 任 何 时 候 都 不 公开 ,或 者 直接 将 密 钥 存 人 TPM ,此 时 厂商 
或 其 他 相关 人 员 可 以 作为 第 三 方 保管 这 些 密 钥 ,一 种 可 能 引入 威胁 或 者 给 客户 多 提供 一 
次 机 会 ,依据 的 是 厂商 的 可 信赖 度 。 

因为 每 个 TPM 内 的 公 钥 组 件 是 唯一 的 ,NGSCB 要 保护 公 钥 免 受用 户 的 暴露 。 这 对 
于 远程 客户 十 分 必要 ,因为 它 可 使 用 公 钥 的 唯一 性 属性 来 将 公 钥 转换 成 机 器 的 标识 。 为 
防止 这 样 做 ,NGSCB 要 保护 公 钥 并 确保 只 向 协议 一 方 的 远程 客户 公开 以 建立 匿名 的 或 
伪 匿 名 密 钥 和 标识 TPM。 而 且 ,NGSCB 应 该 由 机 器 属 主 控制 他 们 所 创建 的 任意 唯一 性 

NGSCB 的 设计 是 要 以 与 微软 公司 的 私密 性 身份 一 致 的 方式 保护 唯一 性 密 钥 和 信任 
状 。 实 际 上 ,NGSCB 体系 结构 使 得 能 够 对 实施 微软 私密 性 身份 原则 的 程序 和 服务 进行 
开发 。 例 如 ,可 以 使 用 NGSCB 体系 结构 设计 商务 应 用 ,因此 个 人 信息 ,如 和 名字、 信用 卡号 
可 以 被 收集 和 使 用 , 仅 在 该 用 户 明确 授予 了 这 些 行 为 权 。 但 是 ,NGSCB 不 局 限于 某 个 策 
略 ,微软 想 由 客户 建立 和 实施 他 们 各 自 的 策略 。 

NGSCB 的 目的 是 确保 TPM 的 签名 密 钥 EK 受到 保护 并 且 只 在 别名 密 钥 建立 时 使 
用 ,如 认证 身份 密 钥 一 一 可 使 在 授权 交互 时 匿名 使 用 。 而 且 ,NGSCB 应 让 机 器 属 主 控制 
他 们 所 创建 的 任意 唯一 性 密 钥 。 
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本 章 从 国内 外 可 信 计 算 发 展 历程 .可 信 平 台 模块 TPM 与 可 信和 加密 模块 TCM 技术 、 
可 信 平 台 相 关 技 术 以 及 基于 TPM/TCM 硬件 支持 的 可 信 操 作 系 统 相关 技术 等 方面 进行 
全 面 介绍 ,以 帮助 读者 理解 可 信 计 算 的 概念 和 技术 ,了 解 基于 TPM/TCM 可 信和 操作 系统 
的 核心 技术 发 展 趋势 。 
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“11.6 习题 


.基本 概念 : 可 信 计 算 .可 信 构 建 块 (TBB) .可 信 边 界 、 信 任 链 扩展 
. 概括 TPM 和 TCM 的 三 个 主要 功能 。 
. 阐述 TCM 与 TPM 的 主要 区 别 。 
. 简 述 平台 完整 性 证 实 过 程 。 一 个 完整 的 远程 证 实 , 你 认为 主要 分 为 哪 几 部 分 ? 
. TCG 所 定义 的 信任 链 是 如 何 逐 步 扩展 的 ? TCG 在 信任 链 扩展 到 哪 一 步 ? 那么 从 
TCG 所 定义 信任 链 的 终点 开始 ,信任 链 扩展 应 该 到 应 用 程序 层 才 可 以 充分 保证 系统 的 可 
信 属 性 ,那么 你 认为 这 一 步骤 该 如 何 完成 。 

6. 保存 在 PCRs 中 的 Hash 运算 值 具有 先后 顺序 ,这 个 属性 在 系统 的 引导 过 程 中 确 
实 非常 必要 。 但 如 果 在 启动 不 同 的 应 用 程序 时 ,这 样 的 先后 顺序 是 否 有 必要 ? 如 果 有 必 
要 ,请 说 明理 由 ;如 果 没 有 必要 ,也 请 说 明理 由 。 

7. 简 述 基于 可 信和 硬件 (TPM/TCM) 的 可 信 操 作 系 统 的 核心 技术 及 其 发 展 趋势 。 


一 
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第 12 痊 
”新 型 操作 系统 发 展 与 展望 


12.1 ”PC 操作 系统 的 发 展 与 安全 


1211 Wndows Vida 与 Wndows 7 


1. Wndovs Vida 

Windows Vista 代表 了 微软 一 种 未 来 计算 的 观点 。 在 Vista 中 ,微软 希望 改善 用 户 的 
体验 ,以 及 改变 公众 对 Windows 操作 系统 不 安全 感 和 不 可 靠 的 看 法 。 微 软 已 经 在 安全 方 
面 采取 了 强硬 的 立场 ,通过 改善 代码 审查 过 程 和 雇用 第 三 方 来 审查 其 软件 。 实 施 创新 的 
安全 控制 ,如 地 址 空间 布局 随机 化 (ASLR) 和 分 层 的 办 法 ,以 增加 系统 的 安全 性 ,也 有 助 
于 微软 产生 一 个 更 为 安全 的 操作 系统 。 

1) 安全 体系 结构 

总 体 来 看 ,Windows Vista 操作 系统 的 安全 体系 结构 可 以 分 为 三 个 层次 ,包括 通用 基 
出 设施 ,安全 基础 设施 和 安全 应 用 ( 见 图 12-1)。 


tt ft 7 


安全 基础 设施 


密码 服务 
安全 硬件 服务 
通用 基础 设施 


图 12-1 Windows Vista 安全 体系 结构 


通用 基础 设施 为 上 层 提 供 基础 网 络 、 计 算 和 存储 服务 (其 中 的 核心 部 件 拥 有 自 包含 的 
安全 机 制 )。 安 全 基础 设施 部 分 内 容 最 多 ,主要 为 操作 系统 自身 、 操 作 系 统 服 务 和 
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Windows 网 络 提供 安全 服务 ,提供 了 包括 认证 .通信 和 安全、 安全 存储 .访问 控制 以 及 审计 
在 内 的 一 系列 安全 服务 。 安 全 应 用 构建 在 安全 基础 设施 之 上 提供 应 用 安全 。 安 全 应 用 指 
的 是 基于 Vista 安全 基础 设施 和 通用 基础 设施 构建 的 安全 应 用 ,最 为 常用 的 包括 浏览 器 
Internet Explore, 其 中 的 安全 机 制 主要 基于 安全 基础 设施 设计 和 开发 。 

2) 安全 机 制 和 技术 

(1) 基础 平台 安全 。 微 软 处 理 Vista 的 基础 平台 安全 主要 从 四 个 方面 加 以 保障 ,这 四 
个 方面 分 别 是 安全 软件 开发 周期 .系统 服务 保护 .防止 缓存 溢出 和 64 位 平台 安全 改进 。 

Q@ 安全 软件 开发 周期 。 众 所 周知 ,当年 Blaster 病毒 给 微软 及 其 用 户 带 来 了 巨大 的 
损失 。 安 全 软件 开发 周期 (SDL-Security Development Lifecycle) 可 以 说 是 一 个 微软 痛 定 
思 痛 后 决心 加 强 产品 安全 的 产物 。SDL 的 中 心思 想 就 是 将 安全 特性 的 考虑 渗透 到 产品 
生命 周期 的 每 一 个 阶段 。 

。 设计 每 一 个 功能 模块 均 需 要 制定 其 相应 的 风险 模型 (threat model) ,来 预测 可 
能 的 攻击 方式 ,制定 相应 措施 等 。 

。 开发 ”遵循 严格 的 代码 规范 。 禁 止 使 用 那些 容易 误 用 的 API 调用 。 使 用 静态 程 
序 分 析 工 具 查 寻 可 疑 的 代码 片段 。 

。 测试 ”特别 严格 测试 风险 模型 指出 的 高 风险 代码 ,并 广泛 采用 FUZZ 测试 。 
FUZZ 测试 指 通过 模拟 错误 的 .不合 规范 的 输入 数据 ,来 测试 软件 代码 针对 错误 
处 理 的 响应 。 它 被 证 明 是 一 个 有 效 的 发 现 产 品 漏洞 的 测试 手段 。 

。 审查 ”产品 代码 在 正式 发 布 前 要 经 过 严格 的 安全 审查 。 

。 维护 /响应 ”一 旦 正式 发 布 的 产品 代码 中 发 现 安全 漏洞 ,需要 有 一 套 严 格 的 安全 
响应 程序 ,以 迅速 .正确 地 提供 安全 补丁 。 

Windows Vista 是 第 一 个 从 头 至 尾 采 用 SDL 进行 开发 的 操作 系统 。 通 过 SDL 严格 

的 开发 规程 ,微软 期 望 Windows Vista 安全 水 准 较 先 前 Windows 操作 系统 有 显著 提高 。 
但 是 ,任何 开发 人 员 都 是 无 法 完全 预知 未 来 攻击 的 所 有 模式 。 所 以 说 ,SDL 可 以 减少 安 
全 漏洞 的 数目 和 严重 程度 ,但 并 不 能 保证 操作 系统 杜绝 所 有 的 安全 漏洞 。 

@ 系统 服务 保护 。 系 统 服务 程序 被 恶意 软件 攻击 的 次 数 日 益 增 多 ,原因 有 以 下 

两 点 : 
。 系统 服务 无 须 用 户 交互 , 即 可 自动 运行 。 
。 系统 服务 运行 于 LocalSystem 账号 下 ,拥有 对 系统 的 完全 控制 权 。 一 旦 被 成 功 攻 
,恶意 程序 就 可 以 在 系统 上 为 所 和 欲 为 。 

其 中 冲击 波 病毒 就 是 攻击 DCOM 的 远程 调用 系统 服务 。 

在 Windows Vista 操作 系统 中 提供 了 系统 服务 保护 功能 ,包括 : 

。 许 多 系统 服务 程序 运行 在 较 低 权限 的 用 户 账 号 下 , 如 LocalService 或 
NetworkService。 

。 系统 服务 程序 有 相应 的 配置 文件 ,用 以 指定 该 服务 可 以 执行 的 文件 ,注册 表 和 网 
络 行 为 。 例 如 ,远程 调用 (RPC) 系 统 服务 被 限制 为 不 能 更 改 系统 文件 和 注册 表 。 
通过 和 防火 墙 配置 的 结合 ,可 以 限制 系统 服务 的 异常 网 络 行为 。 这 样 , 即 使 一 个 
系统 程序 被 攻击 ,由 于 不 能 修改 重要 的 系统 文件 和 注册 信息 ,或 者 连接 网 络 , 它 所 
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造成 的 危害 也 会 得 到 限制 。 

但 是 因为 Service 强化 是 不 可 能 限制 所 有 的 系统 服务 的 ,关键 的 系统 服务 还 是 需要 在 
系统 核心 权限 下 运行 。 一 旦 这 些 服务 出 现 安全 漏洞 ,还 是 会 导致 严重 的 安全 问题 。 

@ 防止 缓存 溢出 。 缓 存 溢出 是 操作 系统 最 为 严重 的 安全 漏洞 ,Code Red、 Blaster、 
Zotob 就 是 最 著名 的 缓存 溢出 的 例子 。 其 原因 在 于 缓存 溢出 的 安全 漏洞 往往 导致 恶意 代 
码 可 被 远程 执行 。 

NX 保护 。NX 的 含义 是 No Execution, NX 保护 可 以 指定 特定 的 页 面 ( 如 堆栈 所 在 
页 面 ) 是 数据 页 面 ,不 允许 在 其 上 运行 指令 。 这 样 , 一 旦 IP 寄存 器 指向 了 堆栈 所 在 页 面 ， 
会 导致 硬件 异常 ,而 不 是 执行 恶意 数据 (代码 )。 

Windows Vista 相对 Windows XP SP2 ,提供 了 更 多 NX 保护 支持 。 在 32 位 平台 上 ， 
Windows Vista 的 默认 设置 是 系统 代码 设置 满足 NX 标准 (NX-compliant)。 同 时 ,还 可 
以 指定 某 个 特定 的 应 用 程序 是 否 满足 NX 标准 。 这 样 , 在 确保 向 前 兼容 性 的 前 提 下 ,可 以 
最 大 可 能 地 提高 系统 中 被 NX 保护 的 比例 。 在 64 位 平台 上 ,NX 保护 默认 设置 为 应 用 于 
所 有 代码 。 

寻 址 空间 随机 分 布 (Address Space Layout Randomization,ASLR)。 如 果 写 入 新 的 返 
回 地 址 不 是 指 回 堆栈 页 面 ,而 是 指向 了 一 个 系统 函数 的 入 口 地 址 ,那样 NX 保护 就 不 起 作 
用 。 这 类 攻击 有 一 个 前 提 , 即 特定 系统 函数 的 入 口 地 址 是 可 以 事先 确定 的 。ASLR 就 是 
针对 此 类 攻击 手段 ,在 Windows Vista 启动 时 ,操作 系统 随机 从 256 个 地 址 空间 中 选 出 一 
个 载 人 DLL/EXE。 这 样 攻击 方 就 难以 事先 确定 系统 函数 的 入 口 地 址 。 

寻 址 空间 随机 分 布 和 NX 保护 结合 在 一 起 ,可 以 有 效 限 制 缓存 溢出 危害 程度 。 

@ 64 位 平台 的 安全 改进 。 有 缺陷 或 恶意 的 驱动 程序 会 导致 系统 骨 溃 .不 稳定 和 极 
为 严重 的 安全 问题 。Rootkit 就 是 指 那些 用 于 修改 操作 系统 ,以 改变 操作 系统 的 表现 行 
为 的 工具 软件 ,而 这 种 改变 ,往往 不 是 操作 系统 设计 时 所 期 望 的 。Rootkit 最 典型 的 目 
的 就 是 “隐藏 >。 隐 藏 的 对 象 可 以 是 文件 .特定 的 注册 表 、 特 定 进程 .打开 的 网 络 端口 
等 。 这 个 "隐藏 ”是 通过 修改 操作 系统 本 身 实 现 的 。Win32 API 的 调用 过 程 如 图 12-2 
所 示 。 


{CreateFilew) 


| 


Ntdll.dll 
(ZwCreateFile) 


Win32 API 调 用 1 
1 
户 模式 1 福 必 
Application ! 人 
1 
1 
1 
! ! 
1 
Kernel32.dll | NT Executives 
1 
1 
1 
1 
1 
1 
1 
1 


lnt 2E 


人 KiServiceTable 
(NtCreateFile) 


图 12-2 Win32 API 的 调用 过 程 
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Rootkit 可 以 将 自身 代码 插入 到 每 一 个 箭头 连接 处 ,以 控制 函数 的 返回 结果 。 举 个 例 
子 ,一 个 应 用 程序 (如 反 病 毒 软件 ) 需 要 查询 系统 中 运行 的 当前 进程 ,Rootkit 只 需要 将 所 
想 隐藏 的 进程 从 返回 的 进程 列表 中 删除 ,那么 上 层 的 应 用 程序 就 根本 不 知道 有 这 样 一 个 
进程 正在 系统 中 运行 。 
Rootkit 之 所 以 会 导致 严重 的 安全 问题 ,是 因为 它 把 自身 文件 和 运行 进程 从 系统 中 隐 
藏 起 来 , 反 病毒 软 件 / 反 间谍 软件 就 不 能 成 功 的 检测 /清除 这 个 程序 。 
在 64 位 平台 Windows Vista, 特 别 增加 了 下 面 两 个 重要 的 安全 特性 : 
。 设备 驱动 程序 数字 认证 。 在 64 位 平台 Windows Vista 中 ,所 有 工作 在 核心 模式 
下 的 设备 驱动 程序 都 必须 提供 数字 认证 ,才能 被 系统 加 载 。 由 于 需要 修改 操作 系 
统 行 为 ,Rootkit 往往 是 一 个 工作 在 核心 模式 下 的 设备 驱动 程序 。 那 么 ,数字 认证 
首先 可 以 指明 一 个 驱动 程序 是 由 哪个 厂商 发 布 的 。 其 次 ,数字 认证 可 以 验证 这 个 
驱动 程序 的 代码 完整 性 ,也 就 是 否 被 算 改 过 。 这 样 ,就 可 以 防止 系统 加 载 Rootkit 
驱动 程序 。 
。 核心 模式 保护 (Kernel Patch Protection) 。 这 个 技术 也 称 为 PatchGuard, 它 用 来 防 
止 未 经 认证 的 代码 自由 修改 操作 系统 的 核心 状态 (Kernel State)。 最 为 危险 的 
Rootkit 往往 直接 修改 核心 模式 的 重要 数据 ,例如 系统 的 进程 控制 表 、 中 断 控制 表 
等 。 通 过 对 核心 状态 的 保护 ,可 以 有 效 阻止 这 类 攻击 。 
但 是 由 于 向 前 兼容 的 原因 ,设备 驱动 程序 的 数字 认证 和 核心 模式 保护 只 在 64 位 平台 
上 有 效 。 也 就 是 说 ,32 位 平台 Windows Vista 上 的 Rootkit 威胁 并 没有 得 到 有 效 控制 。 
(2) 权限 保护 。 权 限 保护 方面 ,根据 设备 和 环境 的 不 同 , 将 其 分 为 三 类 : 用 户 账号 控 
制 ,智能卡 登录 体系 和 网 络 权限 保护 。 
@ 用 户 账 号 控制 (User Account Control) 。 在 以 往 的 Windows 系统 上 , 绝 大 多 数 用 
户 都 是 以 管理 员 (Admin) 权 限 登录 。 这 是 因为 太 多 的 操作 ,如 应 用 程序 的 安装 和 运行 、 
操作 系统 配置 的 修改 等 ,都 需要 管理 员 权 限 。 但 是 如 果 计 算 机 病毒 和 间谍 软件 一 旦 感 
染 系统 ,那么 它们 也 将 会 同时 拥有 管理 员 权 限 随 心 所 和 欲 做 各 种 事情 ,如 自 改 防火 墙 设 
置 等 。 
用 户 账 号 控制 的 目的 就 是 尽量 减少 用 户 权 限 为 管理 员 级 别 的 时 间 。 换 句 话说 ,不 到 
迫不得已 决 不 运行 于 管理 员 模 式 下 : 
。 用 户 登 录 后 的 默认 权限 是 非 管理 员 身 份 ; 
。 如 果 要 执行 需要 管理 员 权 限 的 操作 ,例如 修改 防火 墙 设 置 ,用 户 必须 通过 特定 的 
用 户 界 面 (UAC 的 对 话 框 ) 才 能 将 权限 升 为 管理 员 级 别 。 
但 是 用 户 账号 控制 有 以 下 两 个 问题 : 
。 用 户 的 接纳 程度 。 如 前 面 指出 的 ,用 户 账 号 控制 这 个 功能 是 一 个 典型 的 牺牲 可 用 
性 而 换取 安全 性 的 例子 。 虽 然 微软 做 了 很 大 的 努力 来 尽 可 能 帮助 用 户 使 用 这 个 
功能 ,可 能 还 是 会 有 不 少 比例 的 用 户 觉 得 不 其 方便 而 选择 关闭 这 个 功能 。 
。 社会 工程 攻击 。 所 谓 社会 工程 攻击 ,就 是 攻击 者 通过 某 种 手段 ,例如 虚假 信息 , 诱 
使 用 户 执 行 一 定 的 动作 ,达到 控制 系统 ,窃取 信息 的 目的 。 
@ 智能 卡 (Smart Card)/ 登 录 体 系 。 传统 的 Password 不 应 该 是 用 户 的 唯一 选择 。 
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如 果 用 户 选 择 的 密码 过 于 简单 ,那么 容易 受到 字典 攻击 (Dictionary Attack)。 如 果 用 户 
被 强制 选择 复杂 的 ,难以 记忆 的 密码 ,那么 他 /她 也 许 就 会 把 密码 记录 在 随身 的 记事 本 


智能 卡 提 供 了 解决 这 个 两 难 问 题 的 一 种 方案 。 要 通过 系统 的 身份 验证 ,用 户 必 须 提 
供 代 表 身 份 的 智能 卡 ,并 且 输 入 一 个 对 应 的 密码 。 这 种 双重 认证 的 好 处 是 显而易见 的 。 
如 果 用 户 只 是 智能 卡 丢 失 ,或 者 只 是 密码 被 窃取 ,攻击 方 还 是 无 法 通过 系统 的 身份 验证 。 
事实 上 ,微软 公司 网 络 的 远程 接 人 ,就 采用 了 智能 卡 十 密码 的 验证 方式 。 

Windows Vista 中 特别 加 强 了 对 智能 卡 的 支持 。 它 提供 了 一 套 完整 的 公用 密码 服务 
(CSP-cryptographic service provider) ,以 方便 智能 卡 的 部 署 。 另 外 ,登录 体系 被 重新 设 
计 , 可 以 更 加 方便 的 和 不 同类 型 的 凭证 供应 方 (Credential Provider) 交 互 。 这 使 结合 其 他 
身份 验证 手段 ,如 指纹 验证 ,更 为 容易 。 

@ 网 络 权 限 保护 。 远 程 接 人 设备 ,如 笔记 本 电脑 或 用 户 的 家 用 计算 机 ,使 用 越 来 越 
普遍 。 如 果 一 台 笔记 本 电脑 被 病毒 感染 , 当 该 笔记 本 接 入 到 公司 内 部 网 络 时 ,病毒 可 以 通 
过 此 计算 机 感染 整个 内 部 网 络 。 

网 络 权 限 保 护 就 是 要 求 : 

。 任何 计算 机 必须 通过 系统 健康 检查 (policy compliant) 后 ,如 是 否 安 装 最 新 的 安全 

补丁 , 防 病 毒 软件 的 特征 库 是 否 更 新 等 ,才能 接 入 公司 内 部 网 络 。 

。 未 通过 系统 健康 检查 的 机 器 会 被 隔离 到 一 个 受 控 网 络 。 在 受 控 网 络 中 ,修复 自身 

的 状态 已 达到 系统 健康 检查 的 标准 ,从 特定 服务 器 下 载 专门 的 系统 补丁 。 完 成 修 
复工 作 后 ,才能 接 入 公司 内 部 网 络 。 

通过 以 上 两 种 措施 就 可 以 确保 接 入 内 部 网 络 的 机 器 时 刻 保持 健康 状态 。 

(3) 防止 有 害 软 件 与 恶意 入 侵 。 在 防止 有 害 软件 与 恶意 入 侵 方 面 , Windows Vista 
从 四 个 方面 对 这 点 加 以 保障 。 这 四 个 方面 分 别 是 安全 中 心 、 反 间谍 软件 (Windows 
Defender) 和 有 害 软件 删除 工具 .防火墙 和 IE 安全 改进 。 

中 安全 中 心 。Windows 安全 中 心 最 初 是 从 Windows XP SP2 开始 出 现 的 ,主要 目的 
是 给 用 户 提供 一 个 对 系统 安全 配置 信息 汇总 的 界面 。 在 Vista 之 前 的 安全 中 心 上 主 要 显 
示 的 安全 特性 的 状态 信息 有 防火 墙 、 自 动 更 新 和 反 病 毒 软件 。 而 在 Vista 的 安全 中 心中 
除了 以 上 三 个 安全 特性 的 状态 信息 外 ,还 新 增加 了 如 下 的 安全 特性 的 状态 信息 : 

。 反 间谍 软件 ; 

。 Internet Explorer 的 安全 设置 ; 

。 用 户 账 号 控制 。 

@ 反 间 谍 软 件 和 有 害 软 件 删除 工具 。 随 着 间谍 软件 的 日 益 泛 滥 , 微 软 也 在 Windows 
Vista 中 集成 了 微软 自身 的 反 间 谍 软 件 一 一 Windows Defender, 用 以 检测 和 清除 间谍 软 
件 ,和 其 他 种 类 的 有 害 软件 ,如 广告 软件 ,键盘 记录 器 (Keylogger) 、Rootkits 等 。 

有 害 软 件 删除 工具 (Malicious Software Removal Tool, MSRT) 是 微软 提供 的 针对 威 
胁 最 为 严重 的 有 害 软 件 删除 工具 。 当 用 户 机 器 从 Windows XP 系统 升级 到 Windows 
Vista 时 ,MSRT 先 对 原 有 系统 进行 扫描 :以 减少 Windows Vista 系统 安装 失败 的 几率 。 
但 是 ,无论 是 Windows Defender ,还 是 MSRT ,都 不 能 奉 代 传统 的 反 病 毒 产 品 。Windows 
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Defender 并 不 包括 对 病毒 的 检测 ,MSRT 中 的 病毒 检测 只 涵盖 最 为 流行 的 病毒 类 型 。 

@ 防火 墙 。Windows Vista 中 的 防火 墙 是 默认 打开 配置 。 相 对 于 SP2 的 防火 墙 ， 
Windows Vista 中 的 防火 墙 可 以 控制 应 用 程序 的 对 外 网 络 连接 (application-aware 
outbound filtering)。 这 样 , 系 统管 理 员 可 以 对 内 部 网 络 中 的 P2P 软件 ,或 是 网 络 聊天 软 
件 的 使 用 进行 限制 。 

另外 ,一 旦 机 器 被 感染 ,outbound filtering 可 以 在 一 定 程度 上 减低 危害 程度 。 例 如 ， 
如 果 防 火 墙报 告 一 个 系统 打印 服务 突然 通过 一 个 特殊 的 网 络 端口 向 外 发 送 数 据 ,那么 就 
需要 仔细 调查 。 但 是 ,outbound filtering 能 完全 防止 一 台 被 感染 的 机 器 不 对 外 攻击 或 发 
送 数 据 吗 ? 在 安全 领域 中 有 这 样 一 个 事实 : 通过 合理 的 安全 配置 可 以 做 到 一 台 好 (未 感 
染 ) 的 机 器 不 被 坏 ( 已 感染 ) 的 机 器 攻击 。 但 安全 配置 不 能 阻止 一 台 坏 (已 感染 ) 的 机 需 去 
攻击 其 他 机 器 。 这 是 因为 ,一 旦 系统 被 感染 ,其 行为 是 无 法 事先 预测 的 。 

再 者 ,inbound filtering 也 不 能 完全 杜绝 外 部 攻击 。 例 如 ,即使 防火 墙 的 inbound 
filtering 毫 无 挑剔 (只 打开 80 端口 ) ,一 个 差劲 的 SQL 查询 处 理 就 会 导致 SQL 注入 攻击 。 

@ IE 安全 改进 。IE 是 最 为 流行 的 互联 网 访问 应 用 程序 ,于 是 它 的 安全 漏洞 也 成 为 
病毒 和 间谍 软件 传播 的 主要 途径 之 一 。 另 外 ,尽管 针对 普通 用 户 的 网 络 钓鱼 (Phishing) 
攻击 日 趋 严重 ,以 前 的 IE 版 本 并 没有 提供 任何 对 抗 措施 。 

IE7 为 了 降低 安全 漏洞 的 危害 性 ,引入 了 保护 模式 (Protected Mode) 这 个 概念 。 这 是 
IE7 最 为 重要 的 改进 。 在 Windows Vista 中 ,IE7 运行 在 保护 模式 下 ,这 意味 着 : 

。 IE7 运行 权限 低 于 普通 用 户 程序 ; 

。 只 能 对 文件 系统 的 特定 部 分 执行 写 操作 ; 

。 不 能 对 高 权限 的 其 他 进程 操作 ,如 创建 远程 线程 等 ; 

。 敏感 操作 ,如 修改 Internet 设置 或 安装 ActiveX 控件 ,由 代理 进程 (broker 
process) 执 行 。 

由 于 运行 在 保护 模式 下 ,如果 IE7 出 现 了 安全 漏洞 ,其 危害 程度 一 般 也 会 远 远 低 于 以 
往 IE 安全 漏洞 。 攻 击 方 即使 成 功 攻陷 IE7, 也 很 难 执行 更 加 严重 的 破坏 ,如 在 系统 目录 
下 拷贝 文件 或 修改 系统 注册 信息 等 。 

IE7 的 另 一 个 重要 改进 是 提供 了 网 络 钓鱼 的 网 页 过 滤器 。 所 谓 网 络 钓鱼 ,是 指 复制 
一 个 官方 网 站 的 主页 , 诱 使 用 户 输入 个 人 的 机 密 信 息 , 如 银行 账号 、 密 码 等 。 当 用 户 访问 
网 站 时 ,网 页 过 滤器 会 通过 分 析 网 页 的 特性 ,以 及 和 online 服务 的 数据 库 对 照 , 可 以 向 用 
户 报警 可 疑 的 钓鱼 网 站 ,减少 用 户 个 人 信息 泄密 的 可 能 。 

其 他 较 大 的 改进 有 : 

。 ActiveX Opt-In。 这 个 安全 机 制 是 指 , 对 于 系统 中 已 安装 的 所 有 ActiveX 控件 ,如 

果 开 发 方 事先 没有 申明 是 可 以 互联 网 环境 下 使 用 的 ,IE7 都 默认 禁止 使 用 。 这 样 ， 
攻击 者 想 要 恶意 使 用 某 个 已 安装 的 ActiveX 控件 ,就 变 得 更 加 困难 。 对 于 默认 禁 
止 ActiveX 控件 ,用 户 可 以 通过 相应 的 对 话 框 选择 允许 使 用 。 

。 和 危险 配置 报警 。IE7 的 默认 安全 配置 尽 最 大 可 能 确保 用 户 访问 互联 网 的 安全 性 。 
如 果 出 于 各 种 原因 ,这 些 配置 被 修改 ,安全 级 别 降低 到 危险 水 准 ,IE7 就 会 向 用 户 
提出 警告 ,并 提供 恢复 安全 配置 的 选择 。 
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IE7 中 针对 安全 方面 的 改进 还 有 许多 ,例如 新 的 安全 信息 状态 条 ,针对 cross-domain 
scripting 攻击 的 保护 等 ,这 里 就 不 一 一 阐述 。 

(4) 数据 保护 。 随 着 信息 社会 的 发 展 ,人 们 的 个 人 信息 越 来 越 容易 被 暴露 在 互联 网 。 
另外 ,人 们 也 逐渐 对 存在 在 个 人 计算 机 上 的 信息 的 保密 性 和 安全 性 给 予 越 来 越 多 的 关注 。 
为 此 ,微软 公司 研发 了 如 下 几 项 技术 ,对 个 Windows 系统 下 的 文件 信息 进行 保护 。 

Q BitLocker。 当 前 ,笔记 本 电脑 的 使 用 越 来 越 普遍 。 于 是 ,丢失 笔记 本 的 案例 也 在 
增加 。 最 近 的 一 个 例子 ,美国 的 国家 税务 局 ,丢失 了 一 台 笔记 本 电脑 ,里 面 存 有 指纹 等 机 
密 信息 。 而 一 旦 用 户 的 机 密 信息 被 非法 获取 ,后 果 可 能 是 非常 严重 的 。 

为 此 ,微软 公司 研发 了 BitLocker 技术 ,此 技术 又 称 为 安全 启动 。 它 的 目的 是 即使 物 
理 设备 丢失 , 仍 能 提供 对 Windows 客户 端的 安全 保证 。 其 中 ,特别 针对 攻击 者 试图 以 其 
他 OS 启动 ,以 非法 获取 对 Windows 系统 文件 的 权限 。 

BitLocker 基于 TPM 1.2 平 台 , 需 要 支持 TPM 的 硬件 芯片 。 和 以 往 的 软件 登录 密 
码 相 比 , 它 集 成 硬件 和 软件 保护 机 制 于 一 身 , 因 此 极 大 提高 了 安全 性 能 。 

BitLocker 提供 以 下 四 种 保护 方式 。 它 们 的 优 缺 点 如 表 12-1 所 示 。 


表 12-1 BitLocker 保护 方式 


保护 方式 阻止 攻击 弱点 易 用 性 | ”安全 性 
TPM 纯 软件 攻击 | 易 受 硬件 攻击 最 高 最 低 
软件 狗 全 加 全 击 。| 软件 狗 丢 失 后 的 系统 离线 攻击 高 低 
TPM 十 密码 全 和 侍 训 击 | 针对 TPM 硬件 攻击 低 高 
TPM+ 软件 狗 “| 全 罗京 击 好 对 TPM 软件 狗 的 硬件 攻击 | 。 最 低 最 高 


@ 加 密 文件 系统 。Windows Vista 引入 了 磁盘 全 加 密 (Full Volume Encryption) 功 
能 。 以 前 的 加 密 文件 系统 (EFS) 只 是 对 数据 卷 加 密 , 重 要 的 系统 数据 并 不 包括 在 内 。 例 
如 ,临时 文件 和 虚拟 内 存 的 页 面 文件 ,尽管 可 能 包括 用 户 的 重要 信息 ,也 不 在 加 密 范围 。 
Windows Vista 磁盘 全 加 密 , 除 了 基本 的 系统 引导 代码 ,将 其 余 一 切 都 包括 在 加 密 范围 
内 ,并 有 很 多 种 存储 BitLocker 恢复 口令 的 方法 : 存放 到 Active Directory 域 服务 .打印 出 
来 .存储 到 网 络 文件 夹 或 者 存放 到 一 个 USB 密 钥 中 。 

@ 版 权 保护 。 版 权 保护 目的 在 于 确保 重要 的 文档 只 能 被 授权 的 用 户 所 使 用 ,而 使 用 
的 方式 也 遵循 相应 设置 。 例 如 ,一 封 重要 的 电子 邮件 可 以 指明 只 能 被 特定 的 用 户 群 浏览 ， 
而 且 授 权 用 户 不 能 执行 打印 .转发 等 其 他 操作 。Windows Vista 中 提供 了 访问 版 权 保护 
Office 文档 的 客户 端 (RMS client) ,用 户 不 再 需要 新 安装 /配置 额外 软件 。 

由 USB 设备 控制 。 对 USB 设备 ,以 及 其 他 可 移动 存储 介质 的 控制 ,是 每 个 系统 管理 
员 头 痛 的 地 方 , 因 为 存在 以 下 两 个 安全 问题 。 通 过 USB 设备 ,或 其 他 可 移动 存储 介质 ,用 
户 可 以 方便 拷贝 并 并 随身 携带 大 量 的 数据 信息 。 如 果 USB 设备 ,或 其 他 可 移动 存储 介质 
的 文件 已 被 病毒 感染 。 一 旦 接 入 ,而 用 户 又 选择 “自动 执行 ”特性 ,系统 就 会 被 自动 感染 。 
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在 Windows Vista 中 ,为 不 同 的 USB 目标 设备 增加 了 许多 不 同 的 特性 : 

。 ReadyBoost 通过 使 用 USB 存储 设备 为 一 个 外 部 存储 设备 实现 性 能 提升 ; 

。 BitLocker 通过 使 用 USB 存储 设备 保存 一 个 外 部 密 钥 /恢复 密 钥 来 解密 或 用 来 控 
制 对 一 个 加 密 驱 动 右 的 访问 ; 

。 组 策略 可 以 配置 几 种 设置 控制 用 户 是 否 可 以 安装 、 访 问 所 有 USB 设备 的 驱动 
程序 。 


2 Wndovs 7 

Windows 7 是 由 微软 公司 开发 的 具有 革命 性 变化 的 操作 系统 。 该 系统 包括 家 庭 及 商 
业 工 作 环境 、 笔 记 本 电脑 .平板 计算 机 、 多 媒体 中 心 等 使 用 , 旨 在 让 人 们 的 日 常 计算 机 操作 
更 加 简单 和 快捷 ,为 人 们 提供 高 效 易 行 的 工作 环境 。 

Windows 7 是 基于 Windows Vista 核心 的 ,但 包含 了 许多 的 新 功能 ,改进 了 触 控 的 
方便 性 、 语 音 识别 和 手写 输入 、 支 持 虚拟 硬盘 、 更 多 的 文件 格式 ,并 且 提 高 多 核心 中 央 
处 理 器 的 性 能 .加快 启 动 速度 以 及 核心 上 改进 。2008 年 12 月 27 日 ,Windows 7 Beta 
通过 Bit Torrent 泄露 到 网 络 上 。ZDNet 针对 这 个 版 本 做 了 运行 测试 , 它 在 包括 开机 和 
关机 的 耗 时 、 文 件 和 文档 的 打开 等 多 个 关键 处 都 胜 过 了 Windows XP 和 Windows 
Vista, Windows 7 正式 版 已 于 2009 年 10 月 22 日 在 美国 发 布 ,2009 年 10 月 23 日 下 午 
在 中 国正 式 发 布 。 

1) Windows 7 安全 性 概述 

在 Windows 7 中 ,Windows 的 安全 维护 变 得 简单 ,操作 更 加 人 性 化 。 

(1) 操作 中 心 (Action Center) 。 在 Vista 中 ,可 以 通过 控制 面板 中 的 安全 中 心 , 对 系 
统 的 安全 特性 进行 设置 。 而 在 Windows 7 中 已 经 没有 了 安全 中 心 ,原来 的 安全 中 心 功能 
已 经 融入 一 个 全 新 的 名 为 操作 中 心 的 功能 之 中 。 操 作 中 心 能 显示 并 处 理 计 算 机 系统 安全 
及 维护 相关 消息 。 它 是 所 有 计算 机 重大 问题 解决 和 维护 的 行动 中 心 ,是 一 个 查看 警报 和 
执行 操作 的 中 心 位 置 , 帮 助 保持 系统 稳定 地 运行 。 它 包括 “安全 性 ”“ 维 护 ” 两 大 板块 。 用 
户 可 以 通过 单 击 位 于 通知 区 域 的 图 标 或 者 在 开始 菜单 .控制 面板 搜索 进入 操作 中 心 。 在 
操作 中 心里 ,重要 的 紧急 事件 将 会 用 红色 、 黄 色 列 出 。 用 户 可 以 非常 方便 地 解决 包括 安全 
和 计算 机 维护 的 问题 。 如 恶意 软件 清除 、 安 全 软件 安装 和 更 新 等 信息 。 当 计算 机 出 现 问 
题 时 ,所 有 的 提醒 事件 会 在 通知 区 域 的 图 标 上 显示 。 

(2) UAC 的 改变 。 用 户 账 户 控 制 (UAC) 是 Vista 引入 的 概念 ,其 设计 目的 是 为 了 帮 
助 用 户 更 好 地 保护 系统 安全 ,防止 恶意 软件 的 人 侵 。 它 将 所 有 账户 ,包括 管理 员 账 户 以 标 
准 账户 权限 运行 。 如 果 用 户 进 行 的 某 些 操作 需要 管理 员 特 权 , 则 需要 先 请 求 获得 许可 。 
这 种 机 制导 致 了 大 量 的 用 户 抱 怨 ,并且 很 多 用 户 选择 将 UAC 关闭 ,而 这 又 导致 了 他 们 的 
系统 暴露 在 更 大 的 安全 风险 下 。 

在 Windows 7 中 ,UAC 还 是 存在 的 ,只 不 过 用 户 有 了 更 多 的 选择 。 在 操作 中 心 , 用 
户 可 以 针对 UAC 进行 四 种 配置 : 

。 当 用 户 在 安装 软件 或 修改 Windows 系统 设置 时 总 是 提醒 用 户 ( 与 Vista 系统 

相同 )。 
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。 当 用 户 在 安装 软件 时 提醒 用 户 ,在 修改 Windows 设置 时 不 提醒 用 户 ( 默 认 设置 ) 。 
。 在 用 户 安装 软件 时 提醒 用 户 ,但 是 关闭 UAC 安全 桌面 , 即 提 示 用 户 时 桌面 其 他 区 
域 不 会 失效 。 

。 从 来 不 提醒 用 户 ( 不 推荐 这 种 方式 )。 

(3) 改进 的 BitLocker 驱动 器 加 密 。Windows 7 有 了 喜人 的 改进 ,BitLocker 已 经 可 
以 对 U 盘 和 移动 磁盘 进行 加 密 了 ,并 且 操 作 起 来 很 简单 。 只 需要 在 控制 面板 中 打开 
BitLocker ,选择 需要 加 密 的 磁盘 ,然后 单 击 启用 BitLocker 即 可 。U 盘 或 可 移动 存储 设 
备 会 显示 在 BitLocker To Go 分 类 中 。 这 样 ,利用 BitLocker 加 密 之 后 ,就算 丢掉 了 口 盘 
或 移动 硬盘 也 能 确保 自己 的 数据 安全 ,解决 了 便携 存储 设备 丢失 而 导致 的 数据 泄露 
问题 。 

(4) 内 网 直接 访问 新 特性 (DirectAccess) 。 Windows 7 带 给 人 们 的 一 个 全 新 功能 是 
内 网 直接 访问 , 它 可 以 让 远程 用 户 不 借助 VPN 就 可 以 通过 互联 网 安全 接 人 公司 的 内 
网 。 管 理 员 可 以 通过 应 用 组 策略 设置 以 及 其 他 方式 管理 远程 计算 机 ,甚至 可 以 在 远程 
计算 机 接 人 互联 网 时 自动 对 其 进行 更 新 ,而 不 管 这 台 计 算 机 是 否 已 经 接 人 了 企业 
内 网 。 

内 网 直接 访问 还 支持 多 种 认证 机 制 的 智能 卡 ,以 及 IPsec 和 IPv6 用 于 加 密 传输 。 

(5) 生物 识别 系统 安全 特性 。 毫 无 疑问 ,最 安全 的 身份 鉴定 方法 是 采用 生物 学 方法 ， 
或 者 说 采用 指纹 、 视 网 膜 扫 描 \DNA 以 及 其 他 独特 的 物理 特征 进行 验证 。 虽 然 Windows 
目前 还 没有 计划 内 置 DNA 样本 检测 功能 ,但 是 它 确实 加 入 了 指纹 读 取 功能 。Windows 
支持 用 户 通 过 指纹 识别 的 方式 登录 系统 ,而 且 当 前 很 多 预 装 Vista 的 笔记 本 电脑 都 带 有 
指纹 扫描 器 ,不 过 在 Vista 中 ,指纹 识别 功能 都 是 通过 第 三 方程 序 实 现 的 。 而 在 Windows 7 
中 已 经 内 置 了 指纹 识别 功能 。 藉 此 ,微软 的 目标 是 为 其 他 类 的 设备 带 来 与 生物 识别 设备 
相同 的 支持 。 新 的 控制 面板 称 为 “生物 识别 设备 控制 面板 ”, 提 供 能 删除 生物 识别 信息 的 
平台 、 疑 难 解答 以 及 登录 时 是 否 打 开 生 物 识别 功能 。 生 物 识 别 选项 还 可 被 设置 为 使 用 组 
群 原则 设置 。 

(6) AppLocker 管理 应 用 程序 。 在 XP 和 Vista 中 都 带 有 软件 限制 策略 ,这 是 一 个 很 
不 错 的 安全 措施 。 管 理 员 可 以 使 用 组 策略 防止 用 户 运行 某 些 可 能 引发 安全 风险 的 特定 程 
序 。 不 过 在 这 两 个 系统 中 ,软件 限制 策略 的 使 用 频率 很 低 , 因 为 使 用 起 来 并 不 简单 。 
Windows 7 使 这 种 概念 得 以 改良 ,发 展 出 了 名 为 AppLocker 的 功能 ,可 方便 对 用 户 在 计 
算 机 上 可 运行 哪些 程序 .安装 哪些 文件 .运行 哪些 脚本 作出 限制 。AppLocker 也 被 植 人 
了 Windows Server 2008 R2 中 。 

Applocker 使 用 简单 ,并 且 给 予 管理 员 更 灵活 的 控制 能 力 。 管 理 员 可 以 结合 整个 域 
的 组 策略 使 用 AppLocker ,也 可 以 在 单机 上 结合 本 地 安全 策略 使 用 这 一 功能 。 

(7) Windows 过 滤 平 台 (Windows Filtering Platform )。 Windows 过 滤 平 台 是 在 
Vista 中 引入 的 API 集 。 在 Windows 7 中 ,开发 人 员 可 以 通过 这 套 API 集 将 Windows 防 
火 墙 能 入 他 们 所 开发 的 软件 中 。 这 种 情况 使 得 第 三 方 软件 可 以 在 恰当 的 时 候 开 启 或 关闭 
Windows 防火 墙 的 部 分 设置 。 

(8) PowerShell v2 命令 。Windows 7 集成 了 PowerShell v2 ,这 个 命令 行 界面 可 以 让 
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管理 员 通 过 命令 行 的 形式 管理 多 种 设置 ,包括 组 策略 安全 设置 。 管 理 员 还 可 以 将 多 个 命 
令 行 结合 起 来 组 成 脚本 。 对 于 同一 任务 来 说 ,使 用 命令 行 的 方式 要 比 图 形 界面 更 节省 步 
又 。Windows 7 还 集成 了 PowerShell 集成 脚本 环境 (Integrated Scripting Environment) ,这 是 
PowerShell 的 图 形 界面 版 本 。 

(9) 域名 系统 安全 扩展 (DNSSec) 。Windows 7 支持 域名 系统 安全 (DNSSec) , 它 将 安 
全 性 扩展 到 DNS 平台。 有 了 DNSSec, 一 个 DNS 域 就 可 以 使 用 数字 签名 技术 ,并 通过 这 
种 技术 鉴定 所 收 到 数据 的 可 信和 度 ,避免 受到 攻击 或 扰乱 。DNS 客户 端 并 不 在 自身 实施 
DNS 授权 ,而 是 等 待 服务 器 返回 授权 结果 。 

(10) Internet Explorer 8 浏览 器 。Windows 7 所 带 的 浏览 器 是 IE8, 其 所 提供 的 安全 
性 包括 : 

。 智能 过 滤器 (SmartScreen Filter) 代替 /扩展 了 IE7 中 的 网 络 钓鱼 过 滤器 。 

。 XSS 过 滤器 (XSS Filter) ”防御 跨 站 脚本 攻击 。 

。 域名 高 亮 “对 URL 的 重点 部 分 进行 强调 ,让 用 户 更 清楚 自己 所 访问 站 点 是 否 

正确 。 

。 更 好 的 针对 ActiveX 的 安全 控制 。 

。 数据 执行 保护 (DEP) 默 认为 开启 状态 。 

2) Windows 7 安全 性 不 足 

已 经 发 现 的 漏洞 表明 ,攻击 者 可 以 绕 过 Windows 7 的 一 些 安 全 机 制 。 
Pwn2Own2010 黑客 竞赛 上 ,德国 黑客 Nils 利用 一 些 技巧 绕 过 了 Windows 7 的 数据 执行 
保护 (DEP) 和 寻 址 空间 随机 分 布 (ALSR) ,加 载 了 目标 计算 机 上 的 可 执行 文件 ,攻破 了 
Mozilla Firefox 在 64 位 系统 上 的 运作 ,并 实现 了 对 64 位 Windows 7 的 完全 控制 。 

法 国安 全 公司 Vupen 称 在 正 的 HTML 引擎 中 发 现 一 处 缺陷 。Vupen 证 实 , 在 
Windows XP、Vista 和 Windows 7 上 运行 的 IE8 ,以 及 在 XP 上 运行 的 IE6 IE7 存在 缺 


陷 , 黑 客 可 以 利用 恶意 网 页 触发 该 缺陷 ,在 PC 中 植 人 恶意 代码 ,或 穷 取 用 户 的 机 密 
信息 。 
人 12 Sun Salaris 


Solaris 是 Sun Microsystems 研发 的 计算 机 操作 系统 。 它 被 认为 是 UNIX 操作 系统 
的 衍生 版 本 之 一 。Solaris 传统 上 与 基于 Sun SPARC 处 理 器 的 硬件 体系 结构 结合 紧密 ， 
在 设计 上 和 市 场 上 经 常 捆绑 在 一 起 ,整个 软 硬 件 系 统 的 可 靠 性 和 性 能 也 因此 大 大 增强 。 
然而 SPARC 系统 的 成 本 和 价格 通常 要 高 于 PC 类 的 产品 ,这 成 为 Solaris 进一步 普及 的 
障碍 。 可 喜 的 是 ,Solaris 对 x86 体系 结构 的 支持 正 得 到 大 大 加 强 , 特 别 是 Solaris 10 已 经 
能 很 好 地 支持 x64(AMD64/EMT64) 架构 。 此 外 ,Sun 公司 已 推出 自行 设计 的 基于 
AMD64 的 工作 站 和 服务 器 ,并 随机 附带 Solaris 10。 与 Linux 相 比 ,Solaris 可 以 更 有 效 
地 支持 对 称 多 处 理 器 , 即 SMP 架构 。Sun 同时 宣布 将 在 Solaris 10 的 后 续 版 本 中 提供 
Linux 运行 环境 ,允许 Linux 二 进 制程 序 直接 在 Solaris x86 和 x64 系统 上 和 运行。 鉴于 开 
源 的 需求 ,2005 年 6 月 14 日 ,Sun 公 司 将 正在 开发 中 的 Solaris 11 的 源 代码 以 CDDL 许 
可 开放 ,这 一 开放 版 本 就 是 OpenSolaris。 
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为 了 维护 Solaris 操作 系统 (Solaris OS) 的 安全 ,Solaris 软件 提供 了 以 下 功能 。 


1. 系统 安全 
系统 安全 保护 计算 机 资源 和 设备 不 被 误 用 ;使 文件 免 遭 用 户 或 和 人 侵 者 的 恶意 修改 或 


无 意 修改 ,从 而 确保 正确 地 使 用 系统 资源 。 具 体 功能 如 下 : 


。 登录 管理 工具 ”用 于 监视 和 控制 用 户 能 否 登 录 的 命令 。 

。 硬件 访问 ”用 于 限制 对 PROM 的 访问 ,以 及 可 引导 系统 的 用 户 的 命令 。 

。 资源 访问 ”用 于 尽 可 能 合理 利用 并 尽 可 能 减少 误 用 计算 机 资源 的 工具 和 策略 。 

。 基于 角色 的 访问 控制 (Role-based access control,RBAC) 一 种 体系 结构 ,用 于 创 
建 允 许 执行 特定 管理 任务 的 特殊 受 限 用 户 账户 。 

。 特权 ”进程 执行 操作 的 独立 权利 。 这 些 进程 权限 在 内 核 中 执行 。 

。 设备 管理 ”为 已 通过 UNIX 权限 保护 的 设备 提供 额外 保护 的 设备 策略 。 设 备 分 
配 控制 对 外 围 设 备 ( 如 麦克 风 或 CD-ROM 驱动 器 ) 的 访问 。 取 消 分 配 后 ,设备 清 
除 脚 本 就 可 以 删除 来 自 该 设备 的 任何 数据 。 

。 基本 审计 报告 工具 系统 中 文件 的 属性 快照 , 称 为 清单 。 通 过 比较 系统 间 的 清单 
或 一 个 系统 在 一 段 时 间 内 的 清单 ,可 以 监视 对 文件 所 做 的 更 改 , 以 降低 安全 风险 。 

。 文件 权限 文件 或 目录 的 属性 。 权 限 对 允许 读 取 、 写 入 、 执 行文 件 或 搜索 目录 的 
用 户 和 组 进行 限制 。 

。 安全 性 增强 功能 脚本 ”通过 使 用 这 些 脚本 ,可 以 调整 许多 系统 文件 和 参数 以 降低 
安全 风险 。 


2 加 密 服务 
加 密 服务 为 应 用 程序 和 用 户 提供 验证 和 加 密 机 制 。 加 密 算法 使 用 散 列 、 链 接 和 其 他 


数学 方法 来 创建 难以 破解 的 密码 。 验 证 机 制 要 求 发 送 者 和 接收 者 根据 数据 计算 出 的 数字 
完全 相同 。 加 密 机 制 依 赖 于 发 送 者 和 接收 者 对 有 关 加 密 方法 信息 的 共享 。 只 有 接收 者 和 
发 送 者 才 可 以 使 用 此 信息 解密 消息 。Solaris OS 提供 集中 式 的 加 密 框 架 , 以 及 与 特定 应 
用 程序 关联 的 加 密 机 制 。 


SolarisTM 加 密 框 架 ” 一 种 用 于 内 核 级 和 用 户 级 使 用 者 的 加 密 服务 中 心 框架 。 其 用 


途 包 括 口令 、IPsec 和 第 三 方 应 用 程序 。 该 加 密 框架 包含 许多 软件 加 密 模块 。 通 过 该 框 
架 ,可 以 指定 应 用 程序 能 够 使 用 的 软件 加 密 模块 或 硬件 加 密 源 。 该 框架 基于 PKCS# 11 v2 
库 构建 。 此 库 是 按照 RSA Security Inc. 推出 的 PKCS #11 加 密令 牌 接口 (Cryptographic 
Token Interface,Cryptoki) 标 准 实现 的 。 此 库 可 为 第 三 方 开发 者 提供 API, 以 插入 应 用 程 
序 加 密 要 求 。 
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每 个 应 用 程序 的 加 密 机 制 包括 : 


。 在 安全 RPC 中 使 用 DES 。 

。 在 Kerberos 服务 中 使 用 DES、3DES、AES 和 ARCFOUR。 
。 在 Solaris 安全 Shell 中 使 用 RSA .DSA 和 密码 (如 Blowsh)。 
。 在 口令 中 使 用 加 密 算 法 。 
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3. 鉴别 服务 
鉴别 是 一 种 根据 预定 义 的 条 件 识别 用 户 或 服务 的 机 制 。 鉴 别 服务 的 范围 包括 从 简单 
的 名 称 -口令 对 到 更 详细 的 质询 -响应 系统 (如 智能 卡 和 生物 识别 技术 )。 强 鉴别 机 制 依赖 
于 用 户 提供 的 只 有 自己 了 解 的 信息 ,以 及 可 检验 的 个 人 项 目 。 用 户 名 便 是 用 户 了 解 的 信 
息 。 可 检验 的 个 人 项 目 则 包括 智能 卡 和 指纹 等 。Solaris 的 鉴别 功能 如 下 : 
。 安全 RPC 一 种 鉴别 机 制 ,该 机 制 使 用 Diffe-Hellman protocol(Diffe-Hellman 协 
议 ) 保 护 NFS 挂 载 和 名 称 服务 (如 NIS 或 NIS 十 )。 
。 可 搬 拔 鉴别 模块 (Pluggable Authentication Module,PAM) 一 种 框架 ,用 于 在 系 
统 登 录 服 务 中 插入 各 种 鉴别 技术 ,而 无 须 重新 编译 服务 。 某 些 系统 登录 服务 包括 
login 和 ftp。 
。 简单 身份 鉴别 和 安全 层 ”一 种 为 网 络 协议 提供 鉴别 和 安全 性 服务 的 框架 。 
。 Solaris 安全 Shell 一 种 安全 远程 登录 和 传输 协议 ,用 于 加 密 不 安全 网 络 上 的 
通信 。 
。 Kerberos 服务 ”一 种 客户 机 /服务 器 体系 结构 ,用 于 为 加 密 提 供 鉴 别 。 
。 Solaris 智能 卡 ”一 种 带 有 微 处 理 器 和 内 存 的 塑料 卡 , 可 在 读 卡 器 上 使 用 以 访问 
系统 。 


4 使 用 加 密 的 鉴别 
使 用 加 密 的 鉴别 是 安全 通信 的 基础 。 鉴 别 有 助 于 确保 源 和 目标 是 预定 的 双方 。 加 密 
在 源 方 对 通信 进行 编码 ,在 目标 方 对 通信 进行 解码 。 加 密 可 防止 入 侵 者 读 取 其 可 能 会 设 
法 拦截 的 传输 数据 。Solaris 用 于 安全 通信 的 功能 有 : 
。 Solaris 安全 Shell 一 种 协议 ,用 于 保护 数据 传送 和 交互 式 用 户 网 络 会 话 ,以 防止 
窃听 会 话 劫持 和 中 间 人 攻击 。 通 过 公 钥 密码 学 提供 了 强 鉴别 。X Windows 服 
务 和 其 他 网 络 服务 可 通过 安全 Shell 连接 建立 安全 通道 ,以 获得 其 他 保护 。 
。 Kerberos 服务 ”一 种 提供 使 用 加 密 鉴 别 的 客户 机 /服务 器 体系 结构 。 
。 Internet 协议 安全 体系 结构 (IPsec) 一 种 提供 IP 数据 报 保护 的 体系 结构 。 这 些 
保护 包括 保密 性 .数据 高 完整 性 .数据 鉴别 和 部 分 序列 完整 性 。 


5 审计 

审计 是 系统 安全 和 可 维护 性 的 一 个 基本 概念 。 审 计 是 一 种 进程 ,用 于 检查 系统 中 的 
操作 和 事件 的 历史 记录 ,以 确定 发 生 的 情况 。 历 史记 录 保 存在 日 志 中 ,其 中 记录 了 完成 的 
操作 .完成 时 间 ,操作 者 和 受 影响 的 对 象 。 


6 安全 策略 

“安全 策略 ? 指 组 织 的 安全 原则 。 站 点 的 安全 策略 是 规则 集 , 可 用 于 定义 要 处 理 信息 
的 敏感 度 并 防止 信息 受到 未 经 授权 的 访问 。 安 全 技术 (如 Solaris 安全 Shell、 鉴 别 、 
RBAC 授权 、 特 权 和 资源 控制 ) 可 提供 保护 信息 的 措施 。 描 述 安全 技术 实现 的 特定 方面 
时 , 某 些 安全 技术 也 使 用 策略 一 词 。 例 如 ,Solaris 审计 使 用 审计 策略 选项 配置 审计 策略 
的 某 些 方面 。 
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11.21 Web CS 概述 


1 什么 是 Web CS 

Web OS(Web-based Operating System) 或 者 称 为 网 络 操作 系统 ,是 一 种 基于 浏览 器 
的 虚拟 的 操作 系统 ,用 户 通过 浏览 器 可 以 在 这 个 Web OS 上 进行 应 用 程序 的 操作 ,而 这 个 
应 用 程序 也 不 是 普通 的 应 用 程序 ,是 网 络 的 应 用 程序 。 举 一 个 简单 的 例子 , 当 人 们 进行 照 
片 处 理 时 通常 打开 计算 机 ,进入 Windows 操作 系统 ,运行 Photoshop 程序 进行 加 工 和 操 
作 。 而 在 Web OS 上 ,是 通过 打开 一 个 浏览 器 ,登录 一 个 虚拟 的 桌面 上 ,运行 Picasa 这 样 
的 网 络 应 用 程序 进行 照片 的 加 工 和 处 理 。 从 用 户 的 角度 出 发 ,两 种 运行 方式 在 实际 操作 
上 不 会 有 太 明 显 的 差别 ,唯一 不 同 的 地 方 就 是 Web OS 是 运行 在 一 个 浏览 器 内 。 但 是 这 
点 不 同 却 能 够 导致 根本 性 的 变革 ,因为 用 户 需 求 的 只 是 一 个 浏览 器 ,这 个 浏览 器 可 以 运行 
在 Windows 的 操作 系统 上 ,可 以 运行 在 Linux、Mac OS 上 ,也 可 以 直接 运行 在 硬件 (如 级 
入 式 设 备 ) 上 ,而且 用 户 并 不 需要 安装 各 种 各 样 的 应 用 软件 ,因为 只 要 Web OS 有 一 套 应 
用 软件 ,所 有 连 入 这 个 系统 的 用 户 将 都 可 以 使 用 。 

近年 来 , 随 着 网 络 带 宽 的 增加 ,网 络 传输 速度 不 断 提升 ,使 Web OS 的 发 展 成 为 可 能 。 
虽然 Web OS 可 能 不 会 替代 现行 的 操作 系统 ,但 是 它 为 人 们 的 工作 提供 了 很 大 的 可 移动 
性 与 跨 平台 性 。 事 实 上 ,这 种 将 桌面 计算 机 的 日 常任 务 迁 移 到 Web 上 的 概念 正在 日 益 成 
为 现实 。 


2 Web 05 的 基本 特征 

下 面 是 Web OS 七 大 基本 特征 : 

。 虚拟 计算 机 ,类 似 于 桌面 计算 机 的 操作 模式 ,存储 着 人 们 所 需要 的 相关 信息 。 

。 在 线 软件 应 用 ,包括 在 线 办 公 软 件 .管理 软件 .专业 软件 等 。 

。 文件 管理 系统 ,包括 创建 、 命 名、 删除 .属性 设置 .上传 下 载 等 。 

。 多 媒体 服务 ,所 有 的 媒体 文件 存储 在 服务 器 上 ,在 Web OS 上 只 有 播放 列表 ,通过 
流 媒 体 等 技术 进行 浏览 ,再 也 不 用 担心 硬盘 空间 不 够 用 了 。 

。 即时 通信 系统 ,包括 在 线 聊 天 .邮件 服务 等 ,能 够 在 网 络 上 与 好 友 语 音 视频 聊天 ， 
以 及 相关 的 邮件 操作 ,支持 在 线 的 收发 ,通过 一 个 入口 可 以 同时 登录 多 个 邮箱 。 

。 信息 平台 ,能 将 用 户 的 信息 公布 在 平台 上 ,并 且 进 行 整合 和 发 送 , 同 时 接收 自己 所 
感 兴趣 的 别人 的 信息 。 

。 娱乐 系统 ,提供 诸多 的 在 线 游戏 供用 户 选择 ,支持 多 人 共同 玩 游戏 。 


3 Web 06 的 发 展 历史 与 现状 
将 Web 作为 操作 系统 和 减少 对 Windows 桌面 软件 依赖 性 的 理念 可 以 追溯 到 在 
20 世纪 90 年 代 中 期 诞生 的 网 景 浏览 器 。 从 技术 上 说 ,所 谓 的 Web OS 仍然 需要 依赖 于 
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一 种 基础 的 操作 系统 一 一 例如 Windows 或 Linux, 将 用 户 的 操作 系统 翻译 为 硬件 功能 。 
但 Web OS 的 支持 者 将 更 多 的 最 终 用 户 计算 任务 迁移 到 了 浏览 器 中 ,声称 这 会 使 选择 何 
种 操作 系统 显得 无 足 轻 重 。 

Salesforce 和 YouOS 等 公司 已 经 开始 从 事 开 发 它们 称 为 互联 网 操作 系统 的 产品 , 微 
软 也 已 经 组 建 了 一 个 Windows Live Core 团队 ,开发 在 互联 网 上 运行 的 服务 。 

市 场 上 出 现 了 越 来 越 多 的 在 浏览 器 中 模拟 计算 机 桌面 的 服务 ,这 些 也 称 为 Web OS 
的 Webtop 产品 使 人 们 能 够 完成 大 多 数 的 希望 在 Web 上 完成 的 任务 。Laszlo Systems 推 
出 了 它 称 为 Laszlo Webtop 的 产品 ,使 用 户 能 够 在 一 个 浏览 器 中 运行 多 个 桌面 风格 的 应 
用 软件 。 例 如 ,用户 可 以 在 同一 个 Web 浏览 器 "容器 ?中 运行 Laszlo 基于 Web 的 电子 邮 
件 产品 .联系 人 列表 管理 器 .即时 通信 软件 。 

Laszlo 的 技术 总 监 大 卫 表示 ,Laszlo 的 “浏览 器 中 的 桌面 ”的 方法 比 交 互 式 Web 门户 
网 站 更 向 前 走 了 一 步 。 他 说 ,与 门户 网 页 相 比 , 这 更 像 桌面 计算 机 上 完整 的 操作 系统 。 对 
于 最 终 用 户 而 言 , 它 就 是 有 些 像 操 作 系统 。Laszlo 的 基于 Flash 的 应 用 软件 是 交互 式 的 ， 
相互 之 间 能 够 共享 电子 邮件 地 址 等 信息 ,而且 能 够 访问 企业 的 数据 中 心 。 

尽管 Laszlo Webtop 面向 旨 在 开发 互联 网 应 用 软件 的 企业 ,还 有 许多 面向 消费 者 的 
Webtop 产品 。 这 些 产 品 通常 提供 让 人 们 在 一 个 浏览 器 窗口 中 运行 迷你 软件 或 widget 的 
基础 。 例 如 ,Goowy 去 年 推出 了 YourMinis, 它 可 以 整合 多 个 具有 不 同 功能 的 widget。 

Desktoptwo 是 一 款 让 人 们 能 够 像 获 得 电子 邮件 那样 从 任何 计算 机 上 获得 他 们 的 数 
据 和 应 用 软件 的 服务 ;TransMedia 的 Glide OS 则 旨 在 一 个 基于 Web 的 面板 中 创建 常见 
的 桌面 软件 一 一 字 处 理 .电子 邮件 等 。 

就 像 Windows、Linux、Mac OS 等 是 可 供 其 他 人 开发 应 用 软件 的 平台 一 样 ,许多 Web 
网 站 也 向 开发 人 员 提 供 了 API, 催 生出 数 以 千 计 的 mashup 应 用 软件 。Salesforce、 
Google、eBay、Amazon 等 互联 网 巨头 都 在 积极 地 吸引 开发 人 员 开 发 使 用 在 线 地 图 或 数据 
等 服务 的 应 用 软件 。 微 软 也 已 经 开始 为 其 Live 品牌 的 服务 提供 API。 像 博客 LiveSide 
报道 的 那样 ,微软 正在 大 力 实施 一 项 更 广泛 的 计划 ,从 其 数据 中 心 提供 类 似 操 作 系 统 的 服 
务 。 在 讨论 托管 服务 时 ,微软 的 官员 谈 到 了 “软件 加 服务 ”的 概念 一 一 利用 用 户 计算 机 和 
本 地 数据 的 Web 服务 。 

新 创 公 司 YouOS 则 希望 Web OS 名 副 其 实 , 能 够 取代 操作 系统 为 Web 应 用 软件 提 
供 的 许多 功能 。 目 前 ,在 早期 的 0. 1 版 本 中 ,YouOS 将 主流 操作 系统 作为 设计 起 点 ,其 中 
包括 一 个 图 形 化 的 窗口 系统 、 硬 件 -软件 交互 系统 .运行 软件 的 专用 内 存 、 集 成 的 开发 环 
境 。YouOS 不 希望 其 应 用 软件 在 浏览 器 软件 客户 端 中 运行 。 

YouOS 的 合伙 创始 人 之 一 杰 夫 在 公司 的 博客 上 写 道 ,我们 希望 创建 一 个 用 户 可 以 访 
问 数据 、 运 行 由 任何 人 开发 的 多 个 应 用 软件 的 单一 环境 ,我 们 希望 YouOS 上 的 数据 和 应 
用 软件 不 仅 能 够 通过 浏览 器 被 访问 ,还 能 够 通过 大 量 的 设备 被 访问 。 

由 微软 的 前 官员 创办 的 Xcerion 对 操作 系统 这 一 概念 也 是 念念不忘 , 它 正 在 开发 
XIOS 一 一 Xcerion Internet OS ,提供 用 于 开发 基于 XML 的 Web 应 用 软件 提供 可 视 化 的 
开发 工具 。Ning 或 Coghead 等 服务 则 使 最 终 用 户 而 非 编 程 人 员 能 够 在 浏览 器 中 开发 
Web 应 用 软件 。 
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在 过 去 的 两 年 中 ,托管 Web 应 用 软件 有 了 爆炸 性 增长 ,客户 看 到 了 越 来 越 多 的 有 用 
的 Web 应 用 软件 ,例如 字 处 理工 具 和 社交 网 络 站 点 。 与 目前 大 多 数 的 Web 应 用 软件 相 
比 ,在 一 个 窗口 中 聚合 多 个 应 用 软件 ,或 使 人 们 在 任何 地 方 登录 他 们 的 虚拟 桌面 的 
Webtops 是 一 个 重要 的 进步 。 新 创 公 司 Spiceworks 的 副 总 裁 哈 尔 伯 格 说 ,从 技术 和 营销 
的 角度 来 看 ,要 在 网 络 上 建立 具有 存储 等 功能 的 计算 机 是 一 项 严峻 的 挑战 。 


1122 YOUCS & eyeOS 


YouOS 曾经 是 一 个 alpha 版 本 ,也 就 是 说 稳定 性 还 不 是 很 好 ,界面 也 不 太美 观 。 它 
应 用 了 Ajax(Asynchronous JavaScript and XML) 技 术 , 大 大 地 提高 了 使 用 访问 速度 ,在 
模拟 传统 操作 系统 的 操作 方式 和 功能 的 基础 上 ,充分 利用 快速 发 展 的 网 络 技术 和 资源 优 
势 ,将 一 些 网 络 特性 融 进 OS 里 , 带 给 我 们 一 种 新 的 OS 体验 。 用 户 只 要 到 上 面 注 册 一 个 
试用 账户 就 可 以 体验 这 种 新 的 OS 概念 。 

YouOS 吸引 人 的 地 方 在 于 它 有 大 量 ( 约 90 个 ) 的 扩展 程序 。 另 外 YouOS 的 特色 是 : 
无 论 何 时 退出 系统 , 当 用 户 再 次 在 任何 地 方 登录 时 ,会 发 现 一 切 依 旧 , 像 从 来 没有 退出 过 
一 样 。 而 eyeOS 虽然 具有 扩展 功能 ,可 是 暂时 还 不 能 在 线 安装 使 用 。 唯 有 把 整个 eyeOS 
安装 在 自己 的 机 器 上 ,然后 下 载 扩 展 功 能 源码 进行 添加 。 

但 是 很 遗憾 的 是 ,2008 年 7 月 30 日 ,YouOS 已 被 关闭 。 

eyeOS 的 特别 之 处 在 于 它 是 基于 GPL 协议 的 开源 项 目 。 用 户 可 以 自由 免费 地 下 载 
它 的 代码 ,无论 什 么 操作 系统 ,都 可 通过 安装 架 起 自己 的 eyeOS, 而 且 安 装 方法 十 分 的 简 
单 。 值 得 一 提 的 是 , 它 并 不 采用 AJAX 技术 ,页 面 重复 载 人 ,大 大 降低 了 用 户 交 互 响应 
速度 。 

eyeOS 是 B/S 的 设计 模式 ,用 户 需 要 先 下 载 eyeOS 的 服务 器 文件 并 在 用 户 的 网 页 服 
务 器 上 安装 。 用 户 还 可 以 从 免费 的 公开 服务 器 eyeos. info 上 试用 一 个 demo, 它 还 为 那些 
不 想 安装 自己 的 服务 器 的 用 户 提 供 免 费 的 账户 。 这 个 公开 的 服务 器 是 通过 捐赠 的 方式 建 
立 起 来 的 ,所 以 如 果真 的 很 喜欢 这 个 Web OS, 那 么 用 户 可 以 伸 出 援手 ,为 开源 做 贡献 。 

eyeOS 是 一 个 基于 插件 扩展 ,并 由 世界 各 地 的 开源 社区 共同 维护 的 Web OS。 它 默 
认 自 带 了 日 历 . 计 算 器 .地 址 本 、RSS 阅读 器 ,文字 处 理 器 .FTP 客户 端 .浏览 器 .服务 器 内 
部 消息 、 多 款 游戏 ,聊天 室 以 及 其 他 若干 程序 ,用 户 可 以 在 http://www. eyeos-apps. org 
下 载 并 安装 丰富 的 插件 ,可 以 更 改 eyeOS 皮肤 (eyeTheme)。eyeOS 支持 多 国语 系 ,对 中 
文 完美 支持 ,其 中 文 语系 (包括 插件 汉化 ) 由 eyeOS 中 文官 方 社区 制作 维护 。 目 前 eyeOS 
已 经 发 布 新 版 本 ,版 本 号 为 1. 6. 0. 0, 其 功能 已 经 相当 完善 。 

eyeOS 代码 使 用 php5 开发 ,数据 库 采 用 mysql, 是 完全 开源 的 在 线 操作 系统 , 源 代 码 
可 以 到 官方 网 站 上 下 载 。 运 行 服务 器 采用 apache。 

使 用 eyeOS 的 工具 包 ,可 作为 Web 应 用 程序 的 平台 ,而 且 它 还 包含 一 个 由 67 个 应 用 
程序 和 系统 工具 组 成 的 桌面 环境 。eyeOS 被 认为 是 建立 大 型 云 计算 服务 的 开源 替代 品 ， 
它 能 将 那些 数据 保存 在 服务 器 上 。 使 用 eyeOS 可 使 你 的 数据 永远 像 保 存在 本 地 服务 器 
上 一 样 。 

eyeOS 并 不 是 一 个 完全 靠 自身 开发 应 用 的 一 个 桌面 web OS, 它 从 设计 时 就 考虑 到 能 
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够 轻松 开发 创造 新 的 应 用 。eyeOS 2. 0 采用 的 就 是 这 样 一 个 完美 的 开发 框架 (rich 
Internet applications) ,能 够 帮助 大 家 容易 地 开发 网 络 应 用 。 它 是 采用 开放 技术 和 广泛 接 
受 的 标准 ,如 PHP、MySQL、JavaScript、Qooxdoo、log4php、PHPUnit、OpenOffice 等 开发 
而 成 。 


1123 Web 8 安全 


2010 年 11 月 ,安全 企业 SecTheory 的 两 位 研究 人 员 Orlando Barrera 和 Daniel 
Herrera 表示 ,他 们 已 经 发 现 了 惠普 /Palm Web OS 操作 系统 的 多 个 安全 漏洞 ,其 中 之 一 
可 能 导致 黑客 构建 出 一 个 由 大 量 用 户 手 机 构成 僵尸 网 络 。 

Orlando Barrera 和 Daniel Herrera 在 美国 得 克 萨 斯 州 Austin 举行 的 黑客 协会 会 议 
公布 了 这 些 漏洞 问题 。 其 中 最 严重 的 漏洞 存在 于 Web OS 1. 4. x 版 本 的 通讯 录 应 用 中 ， 
利用 该 漏洞 可 以 远程 发 送 命令 控制 手机 ,访问 手机 内 文件 或 诸如 JavaScript 代码 构建 僵 
尸 网 络 。 

虽然 惠普 已 经 在 Web OS 2.0 Beta 中 修补 了 这 一 漏洞 ,但 研究 者 还 是 在 该 版 本 中 发 
现 了 其 他 多 个 漏洞 ,包括 浮 点 运算 问题 ,DoS 漏洞 . 跨 站 脚本 漏洞 等 。 

研究 人 员 表示 ,由 于 Web OS 平台 本 身 为 简化 网 络 应 用 ,将 操作 系统 与 一 些 网 络 技术 
如 JavaScript 联系 得 更 加 紧密 ,因此 也 就 更 容易 出 现 网 络 安全 漏洞 问题 。 虽 然 其 他 平台 
也 有 此 类 问题 ,但 Palm 原意 简化 应 用 开发 的 网 络 环境 ,同样 也 简化 了 黑客 的 研发 过 程 。 

这 并 非 是 首次 有 人 发 现 Web OS 的 安全 漏洞 ,2009 年 就 已 经 有 研究 人 员 揭 露 Web 
OS 的 电子 邮件 漏洞 ,可 让 黑客 存 取 手机 内 的 文件 ,2010 年 早 些 时 候 亦 有 一 个 注入 漏洞 公 
诸 于 世 , 透 过 恶意 简讯 可 让 Web OS 装置 自动 开启 网 页 或 是 关闭 广播 功能 等 。 

虽然 现 阶 段 针 对 智能 手机 的 攻击 行动 多 是 良性 的 ,但 Barrera 与 Herrera 预测 , 随 着 
这 些 装置 功能 越 来 越 强大 且 成 为 使 用 者 工作 上 重要 的 工具 时 ,这 种 情况 很 快 就 会 改变 。 


123 ”未 来 云 操 作 系 统 与 安全 


云 计算 (Cloud Computing) 的 一 个 核心 理念 就 是 通过 不 断 提高 “ 云 ” 的 处 理 能 力 ,进而 
减少 用 户 终 端的 处 理 负担 ,最 终 使 用 户 终端 简化 成 一 个 单纯 的 输入 输出 设备 ,并 能 按 需 享 
受 “ 云 ”的 强大 计算 处 理 能 力 。 云 计算 的 核心 思想 ,是 将 大 量 用 网 络 连 接 的 计算 资源 统一 
管理 和 调度 ,构成 一 个 计算 资源 池 向 用 户 按 需 服 务 。 下 面 将 介绍 基于 云 计 算 理念 的 操作 
系统 。 


亿 31 Googe Chrome CS 


Google 公司 拥有 目前 全 球 最 大 规模 的 搜索 引擎 ,并 在 海量 数据 处 理 方面 拥有 先进 的 
技术 ,如 分 布 式 文件 系统 GFS、 分 布 式 存储 服务 Datastore 及 分 布 式 计算 框架 MapReduce 
等 。2008 年 Google 公司 推出 了 Google App Engine(GAE) Web 运行 平台 ,使 客户 的 业 
务 系统 能 够 运行 在 Google 的 全 球 分 布 式 基础 设施 上 。 此 外 ,Google 公司 还 提供 了 丰富 
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的 云端 应 用 ,如 Gmail、Google Docs 等 。 继 2008 年 9 月 ,Google 推出 Google Chrome 浏 
览 器 测试 版 ,2008 年 12 月 ,Google 推出 了 其 正式 版 。2009 年 7 月 8 日 ,Google 宣布 了 自 

己 的 操作 系统 计划 , 它 将 基于 Google Chrome 网 络 浏览 器 开发 PC 操作 系统 , 即 Google 
Chrome OS。2010 年 12 月 ,Google 首席 执行 官 埃 里 克 … 施 密 特 (Eric Schmidt) 表 示 ， 
Google 目前 在 Chrome OS 操作 系统 方面 的 努力 的 其 中 一 个 主要 目的 就 是 希望 成 为 云 计 
算 领域 的 巨头 之 一 ,并 希望 该 平台 能 够 成 为 微软 Windows 和 芋 果 Mac 的 重要 替代 型 
六 

Google Chrome OS 是 一 个 基于 Linux 的 开源 操作 系统 ,于 2010 年 12 月 7 日 正式 发 
布 。 最 初 是 以 上 网 本 作为 主要 目标 的 轻便 的 操作 系统 。 速 度 、 简 便 和 安全 是 Google 
Chrome OS 的 三 大 特点 。 将 操作 系统 设计 得 尽量 快捷 简便 ,能 够 使 用 户 在 短 短 的 几 秒 钟 
登录 。 用 户 界面 将 占 取 最 小 限度 的 空间 ,大 多 数 用 户 经 验 都 发 生 在 上 网 过 程 中 。 正 如 设 
计 Google Chrome OS 时 所 考虑 到 一 些 最 基本 的 问题 ,然后 又 重新 考虑 了 操作 系统 的 一 
些 潜 在 安全 技术 方面 的 瑕 站 ,这 样 ,用 户 就 不 用 花心 思 在 处 理 病毒 .恶意 软件 和 安全 更 新 
方面 ,只 管 工作 就 可 以 了 。 

Google Chrome OS 同时 支持 X86 和 ARM。 网 络 作为 应 用 程序 发 展 的 平台 。 软 件 

结构 极其 简单 ,可 以 理解 为 在 Linux 的 内 核 上 运行 一 个 使 用 新 的 窗口 系统 的 Chrome 浏 

览 咒 。 对 于 开发 人 员 来 说 , Web 就 是 平台 ,所 有 现 有 的 Web 应 用 可 以 完美 地 在 Chrome 
OS 中 运行 ,开发 者 也 可 以 用 不 同 的 开发 语言 为 其 开发 新 的 Web 应 用 。 当 然 , 为 Chrome 
OS 开发 的 程序 也 可 以 在 Windows/Mac OSX/Linux 平台 下 的 各 种 传统 的 浏览 器 中 运 
行 ,这 也 为 开发 者 的 程序 构建 了 足够 大 的 用 户 群 基础 。 

Google Chrome OS 是 从 Android 分 离 出 来 的 全 新 项 目 ,设计 Android 的 初衷 是 为 了 
让 它 能 够 支持 从 手机 、 机 顶 盒 到 笔记 本 等 多 种 设备 。Google Chrome OS 不 仅 是 为 花 大 把 
的 时 间 在 网 络 上 的 人 服务 的 ,同时 也 是 为 不 论 是 笔记 本 还 是 台式 机 设计 的 。 当 提 及 
Google Chrome OS 与 Android 是 否 有 所 重合 时 ,我 们 相信 对 任何 一 方 都 将 是 一 种 创新 ， 
包括 Google。 


1. 体系 结构 

Chrome 操作 系统 启动 过 程 已 经 得 到 优化 ,可 以 直接 从 固件 引导 优化 过 的 内 核 , 然 后 
打开 Chrome 浏览 器 。Chrome OS 会 像 一 个 桌面 操作 系统 一 样 被 使 用 ,但 它 不 是 一 个 传 
统 的 胖 客户 端 桌面 , 像 Windows 或 Mint 等 Linux 桌面 。 相 反 , 它 所 有 的 “应 用 程序 ”都 将 
是 基于 云 的 。 其 实在 Chrome 浏览 器 和 Google Apps 中 ,其 实 已 经 看 到 了 Google 
Chrome OS 的 剪影 。Chrome OS 将 会 有 足够 的 应 用 ,部 分 原因 是 Ubuntu 支持 了 其 浏览 
器 和 网 络 应 用 。 也 很 可 能 可 以 运行 传统 的 桌面 应 用 程序 ,通过 使 用 叫 作 Chromoting( 远 
程 Chrome) 的 远 客 户 端 计算 技术 。 

对 于 应 用 开发 商 来 说 , Web 就 是 平台 。 所 有 基于 Web 的 应 用 程序 都 能 运行 ,新 的 应 
用 程序 可 以 使 用 用 户 最 喜爱 的 Web 技术 实现 。 当 然 , 这 些 应 用 服务 将 不 仅 运 行 在 谷歌 
Chrome 操作 系统 上 ,而 且 可 以 在 任何 基于 标准 的 浏览 器 上 ,无论 是 基于 Windows、Mac 
和 Linux。 
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2 现 有 安全 性 分 析 

Chrome OS 在 启动 每 一 个 步骤 都 需要 验证 安全 签名 。 如 果 任 何 一 个 步骤 验证 失败 ， 
这 可 能 是 因为 恶意 软件 人 侵 , 系 统 将 会 自动 重启 ,然后 将 重新 下 载 干净 的 系统 ,确保 系统 
安全 。 

ChromeOS 不 信任 任何 程序 ,所 有 的 程序 都 在 沙 盒 里 运行 。 由 于 一 切 操作 都 在 被 隔 
离 的 沙 盒 中 运行 ,就 算是 遇 到 恶意 软件 也 不 会 影响 到 整个 系统 的 安全 。 此 外 ,系统 永远 是 
自动 更 新 的 , 它 会 自动 安装 最 新 版 本 的 软件 。 为 了 进一步 的 安全 ,启动 目录 是 只 读 的 ,不 
允许 任何 程序 修改 ,在 操作 系统 层面 做 好 防护 。 

Chrome OS 存储 在 本 地 的 数据 也 有 加 密 。 即 使 是 计算 机 丢失 之 后 ,硬盘 上 的 数据 被 
黑客 强行 读 取出 来 也 不 会 泄密 。 

下 面 对 Chrome OS 将 来 可 能 出 现 的 安全 隐患 情况 分 析 如 下 : 

。 BrowserKernel 会 读 取 文 件 系 统 中 的 文件 .加载 到 内 存 中 的 一 个 cache 里 ， 

RendingEngine 需要 从 Cache 读数 据 ; 

。 第 三 方 软件 如 flash Silverlight 等 没有 经 过 Sandbox, 其 安全 完全 依赖 于 自己 的 

实现 ; 

。 Rending Engine 还 是 可 以 向 Browser Kernel 发 送 消息 ,虽然 是 通过 IPC( 有 严格 

限制 ); 
。 同 源 策略 不 如 Gazelle 紧 (Gazelle 并 不 是 一 个 新 的 Windows, 而 是 一 种 新 型 的 浏 
览 器 , 它 的 内 核 会 像 操作 系统 那样 ,为 不 同 的 网 站 分 配 资源 并 对 这 些 资源 提供 访 
问 保护 ) , 某 些 时 候 在 一 个 进程 内 还 是 能 够 访问 不 同 源 的 数据 ; 

。 自动 升级 方面 用 的 是 Omaha, 每 过 5 分 钟 检查 一 次 update, 如 果 有 更 新 就 下 载 到 
本 地 ,下 次 启动 浏览 器 会 更 新 ; 

。 恶意 网 站 监测 方面 也 是 用 的 StopBadWare. org 的 库 。 


1232 Windws Azure 


2008 年 10 月 27 日 ,在 洛杉矶 举行 的 专业 开发 者 大 会 PDC2008 上 ,微软 首席 软件 架 
构 师 Ray Ozzie 宣布 了 微软 的 云 计 算 战 略 以 及 云 计 算 平 台 一 一 Windows Azure。The 
Azure™ Services Platform(Azure) 是 一 个 互联 网 级 的 运行 与 微软 数据 中 心 系统 上 的 云 计 
算 服务 平台 , 它 提 供 操 作 系 统 和 可 以 单独 或 者 一 起 使 用 的 开发 者 服务 。Azure 是 一 种 灵 
活 和 支持 互 操作 的 平台 , 它 可 以 用 来 创建 云 中 运行 的 应 用 或 者 通过 基于 云 的 特性 来 加 强 
现 有 应 用 。 它 开放 式 的 架构 给 开发 者 提供 了 Web 应 用 互联 设备 的 应 用 .个 人 计算 机 、 服 
务 器 或 者 提供 最 优 在 线 复 杂 解 决 方案 的 选择 。 

Windows Azure 以 云 计算 技术 为 核心 ,提供 了 “软件 十 服务 ”的 计算 方法 ,也 是 Azure 
服务 平台 的 基础 。Azure 用 于 帮助 开发 者 开发 可 以 跨越 云端 和 专业 数据 中 心 的 下 一 代 应 
用 程序 ,在 PC、Web 和 手机 等 各 种 终端 间 创 造 完美 的 用 户 体验 。 

Azure 能 够 将 处 于 云端 的 开发 者 个 人 能 力 . 同 微软 全 球 数据 中 心 网 络 托管 的 服务 ,如 
存储 、 计 算 和 网 络 基础 设施 服务 ,紧密 结合 起 来 。 这 样 ,开发 者 就 可 以 在 “云端 "和 “客户 
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端 ? 同 时 部 署 应 用 ,使 企业 与 用 户 都 能 共享 资源 。Ray Ozzie 说 道 ,“ 今 天 ,无 论 对 于 开发 社 
区 还 是 对 于 微软 来 说 ,都 是 一 个 转折 点 。 我 们 所 提出 的 技术 将 改变 原来 的 游戏 规则 ,同时 
为 Web 开发 者 和 企业 开发 者 带 来 新 的 机 遇 。” 

微软 会 保证 Azure 服务 平台 自始至终 的 开放 性 和 互 操作 性 。 微 软 确信 企业 的 经 营 模 
式 和 用 户 从 Web 获取 信息 的 体验 将 会 因此 改变 。 最 重要 的 是 ,这 些 技术 将 使 用 户 有 能 力 
决定 ,是 将 应 用 程序 部 署 在 以 云 计算 为 基础 的 互联 网 服务 上 ,还 是 将 其 部 署 在 客户 端 ,或 
者 根据 实际 需要 将 二 者 结合 起 来 。 

Windows Azure 是 一 个 云 服 务 的 操作 系统 , 它 提供 了 一 个 可 扩展 的 开发 环境 、 托 管 
服务 环境 和 服务 管理 环境 ,这 其 中 包括 提供 基于 虚拟 机 的 计算 服务 和 基于 Blobs、Tables、 
Queues、Drives 等 的 存储 服务 。Windows Azure 为 开发 者 提供 了 托管 的 .可 扩展 的 、 按 需 
应 用 的 计算 和 存储 资源 ,还 为 开发 者 提供 了 云 平台 管理 和 动态 分 配 资源 的 控制 手段 。 
Windows Azure 是 一 个 开放 的 平台 ,支持 微软 和 非 微软 的 语言 和 环境 。 开 发 人 员 在 构建 
Windows Azure 应 用 程序 和 服务 时 ,不 仅 可 以 使 用 熟悉 的 Microsoft Visual Studio、 
Eclipse 等 开发 工具 ,同时 Windows Azure 还 支持 各 种 流行 的 标准 与 协议 ,包括 SOAP、 
REST XML 和 HTTPS 等 。Windows Azure 主要 包括 三 部 分 ,一 是 运营 应 用 的 计算 服 
务 , 二 是 数据 存储 服务 ,三 是 基于 云 平台 进行 管理 和 动态 分 配 资源 的 控制 器 (Fabric 


Controller) 。 


1. 体系 结构 
Windows Azure 是 Windows Azure Platform 上 运行 云 服务 的 底层 操作 系统 ,微软 将 
Windows Azure 定 为 云 中 操作 系统 的 商标 , 它 提 供 了 托管 云 服务 需要 的 所 有 功能 ,包括 
运行 时 环境 ,如 Web 服务 器 .计算 服务 .基础 存储 .队列 .管理 服务 和 负载 均衡 , Windows 
Azure 也 为 开发 人 员 提 供 了 本 地 开发 网 络 , 在 部 署 到 云 之 前 ,可 以 在 本 地 构建 和 测试 服 
务 。 图 12-3 显示 的 是 整个 平台 的 框架 技术 结构 。 其 中 Windows Azure 的 三 个 核心 服务 
分 别 是 计算 (compute) ,存储 (storage) 和 管理 (management)。 
。 计算 : 计算 服务 在 64 位 Windows Server 2008 平台 上 由 Hyper-V 支持 提供 可 扩 
展 的 托管 服务 ,这 个 平台 是 虚拟 化 的 ,可 根据 需要 动态 调整 。 
。 存储 : Windows Azure 支持 三 种 类 型 的 存储 ,分 别 是 Table、Blob 和 Queue。 它 们 
支持 通过 REST API 直接 访问 。 注 意 Windows Azure Table 和 传统 的 关系 数据 
库 Table 有 着 本 质 的 区 别 , 它 有 独立 的 数据 模型 Table 通常 用 来 存储 TB 级 高 可 
用 数据 ,如 电子 商务 网 站 的 用 户 配置 数据 ,Blob 通常 用 来 存储 大 型 二 进 制 数 据 ， 
如 视频 、 图 片 和 音乐 ,每 个 Blob 最 大 支持 存储 50GB 数据 ,Queue 是 连接 服务 和 应 
用 程序 的 异步 通信 信道 ,Queue 可 以 在 一 个 Windows Azure 实例 内 使 用 ,也 可 以 
跨 多 个 Windows Azure 实例 使 用 ,Queue 基础 设施 支持 无 限 数量 的 消息 ,但 每 条 
消息 的 大 小 不 能 超过 8SKB。 任 何 有 权 访 问 云 存 储 的 账户 都 可 以 访问 Table、Blob 


和 Queue。 
。 管理: 包括 虚拟 机 授权 、 在 虚拟 机 上 部 署 服 务 .配置 虚拟 交换 机 和 路 由 器 、 负 载 均 
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图 12-3 Windows Azure Platfrom 框架 技术 结构 


2 应 用 

Windows Azure Platform 实际 上 包含 了 三 部 分 : 最 低层 是 一 个 云 计 算 基 础 服务 层 
(Fundamental Service) ,可 以 理解 为 “云端 的 操作 系统 ”, 主 要 从 事 虚 拟 化 计算 资源 管理 和 
智能 化 任务 分 配 。 将 来 开发 的 云 计算 应 用 程序 ,可 以 部 署 在 该 平台 上 ,通过 这 个 平台 ， 
供 计算 、 存 储 或 者 管理 的 能 力 。 从 计算 能 力 上 ,目前 支持 ASP. NET 应 用 ,以 及 通过 
FastCGI 提供 对 其 他 语言 的 支持 ,如 PHP、Java 等 。 在 最 近 发 布 的 CTP 版 本 中 还 提供 了 
对 Unmanaged Code 的 支持 ,即使 用 C++ 、Win32 API 编写 的 应 用 也 可 以 运行 于 该 平台 。 

在 此 之 上 的 是 一 个 构建 服务 平台 (Building Block Service), 这 里 提供 了 一 系列 的 服 
务 , 如 Live 服务 、. NET 服务 .SQL 服务 等 ,可 以 简单 地 把 它们 看 成 一 系列 的 构建 块 ,用 来 
帮助 建立 云 计算 的 应 用 或 将 现 有 的 业务 拓展 到 云端 。 这 是 一 个 面向 开发 者 的 应 用 服务 
层 ,用 来 解决 企业 应 用 中 所 面临 着 的 一 系列 技术 难题 ,如 服务 之 间 怎 么 整合 ,不 同 应 用 中 
的 访问 控制 与 授权 等 。 
再 往 上 则 是 为 客户 提供 的 服务 层 (Finished Service) ,将 一 些 运 营 比 较 成 功 的 在 线 服 
务 以 服务 的 形式 直接 提供 给 最 终 用 户 , 像 Windows live、office live、Exchange Online 等 ， 
同时 通过 提供 统一 的 接口 开放 给 开发 者 ,与 企业 应 用 之 间 进 行 服务 级 的 集成 ,以 提供 更 好 
的 客户 体验 。 
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对 Windows Azure 的 三 个 层次 有 了 基本 的 了 解 后 ,再 来 看 企业 用 户 可 以 如 何 实现 应 
用 模式 的 问题 ,可 以 从 以 下 三 个 场景 进行 考虑 。 

1) 搭建 一 个 完整 的 云 计 算 应 用 ,托管 在 Windows Azure 之 上 

这 种 应 用 模式 最 大 的 好 处 在 于 不 必 搭 建 自己 的 IT 基础 设施 ,在 降低 IT 拥有 成 本 的 
同时 ,降低 了 应 用 的 部 署 以 及 未 来 的 IT 运营、 管理 成 本 。 对 开发 者 而 言 ,系统 分 层 设 计 
的 架构 思想 也 不 会 发 生变 化 。 应 用 开发 .测试 完成 后 ,可 以 很 方便 地 部 署 到 Windows 
Azure 平 台 上 ,而 不 用 考虑 购买 服务 器 、 服 务 器 规格 、 如 何 搭建 网 络 、 上 线 等 一 系列 复杂 的 
问题 ,更 不 用 考虑 业务 快速 增长 时 所 带 来 的 瓶颈 , 云 计 算 最 大 的 特征 便 是 拥有 极 好 的 可 用 
性 及 动态 的 可 扩展 能 力 。 

这 种 使 用 模式 目前 比较 适合 新 创业 的 公司 ,快速 发 展 互 联网 公司 以 及 个 人 用 户 。 随 
着 信用 体系 的 不 断 完善 以 及 消费 习惯 的 变化 ,也 适用 于 大 中 型 企业 。 

2) 将 现 有 应 用 向 云 中 扩展 

该 应 用 模式 的 思维 方式 是 将 云 计算 平台 作为 一 种 资源 加 以 利用 , 即 在 现 有 的 应 用 中 
部 分 地 使 用 云 计 算 提 供 的 能 力 。 从 系统 架构 来 看 ,在 组 织 内 部 运行 的 应 用 程序 (内 部 预制 
应 用 程序 ,on-premises application) ,而 将 在 云 中 存储 数据 ,或 依赖 于 其 他 云 基础 结构 服 
务 。 云 计算 提供 的 是 按 需 付费 模式 ,可 以 较 好 地 解决 On-premise( 自 有 平台 ) 在 IT 建设 
时 决策 上 的 困惑 , 按 峰值 设计 ,将 来 大 部 分 的 资源 被 闲置 ,不 能 得 到 充分 的 利用 ,设计 不 足 
又 不 能 满足 业务 快速 发 展 的 需求 ,而 云 计算 可 以 较 好 地 解决 这 种 问题 。 如 通过 云 计算 平 
台 对 一 些 需 要 大 量 计算 的 特殊 任务 进行 并 行 处 理 , 无 论 是 在 时 效 性 ,还 是 在 应 付 本 地 突 发 
性 处 理 能 力 不 足 方面 都 是 一 个 不 错 的 选择 。 又 如 可 以 将 一 些 海量 存储 放 到 云 计算 平台 
中 ,不 必 考 虑 数据 的 可 用 性 、 灾 难 备份 及 恢复 性 问题 。 

3) 搭建 S 十 S(On-premise Service 十 Cloud Service) 混 合 模式 ,提升 应 用 的 服务 能 力 

利用 Azure Service 提供 的 一 系列 服务 构件 块 ,构件 跨越 组 织 机 构 的 虚拟 应 用 ,利用 
第 三 方 提供 的 服务 能 力 来 弥补 自身 业务 能 力 的 不 足 , 从 而 为 最 终 客 户 提供 最 佳 的 客户 体 
验 。Azure Service 提供 的 Service Bus、Access Control、Workflow 等 服务 可 以 较 好 地 组 
织 面向 服务 (SOA) 的 应 用 架构 ,对 服务 管理 .服务 注册 、 服 务 消费 、 服 务 流程 控制 .自动 路 
由 、 服 务 桥接 等 均 提供 了 高 效 可 行 . 易 于 使 用 的 开发 手段 ,为 企业 内 部 的 不 同系 统 间 ,不同 
机 构 的 应 用 间 搭 建 了 畅通 的 信息 渠道 。 

综 上 所 述 , 应 用 程序 有 多 种 使 用 云 服务 的 方式 ,因此 在 不 同 的 情况 下 ,可 以 使 用 不 同 
种 类 的 云 平 台 。 无 论 采 用 哪 种 方式 ,利用 云 的 功能 都 可 以 改善 我 们 的 世界 。 


3 安全 性 需求 

1) 微软 云 计算 平台 的 安全 技术 策略 

随 着 云 计算 时 代 的 到 来 ,软件 开发 模式 和 商业 模型 都 将 进入 全 面 更 新 改良 的 新 时 代 。 
微软 云 计算 平台 Windows Azure 应 运 而 生 。Azure 来 源 于 法 语 ,语意 为 天 空 一 样 的 湛蓝 
色 ,微软 希望 把 其 打造 成 承载 云 上 应 用 和 服务 的 蓝天 。 微 软 Azure 云 计 算 平 台 由 多 个 不 
同 组 件 构成 ,包括 Windows Azure、SQL Azure ( 原 SQL 服务 )、Azure 应 用 AppFabric 
( 原 . NET 服务 ) 以 及 微软 指定 的 网 络 .存储 和 服务 器 硬件 配置 组 成 ,硬件 部 分 将 由 微软 
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合作 伙伴 提供 。 

就 安全 策略 层面 来 说 ,微软 充分 研究 和 理解 了 云 计算 模式 对 关键 应 用 和 数据 带 来 的 
潜在 的 访问 管理 权 、 合 规 性 、 法 律 和 商业 上 的 影响 。 但 鉴于 市 场 上 对 云 计 算 的 安全 性 依然 
倍 受 质 疑 , 所 以 不 少 企业 还 是 采取 了 观望 态度 。 那 么 ,微软 Windows Azure 在 安全 技术 
上 到 底 安全 性 能 如 何 呢 ? 

(1) 强化 底层 安全 技术 性 能 。 微 软 如 何 保证 运行 在 Azure 云 计算 平台 之 上 的 应 用 具 
备 高 可 用 性 、 高 扩展 性 和 安全 性 ? 这 是 所 有 刚刚 接触 Azure 平台 的 人 都 会 产生 的 疑问 。 
据 微 软 表 示 目 前 微软 拥有 大 量 Windows Server 和 SQL Server 的 平台 用 户 。 这 么 多 的 客 
户 每 天 都 在 微软 平台 上 运行 关键 的 应 用 ,这 一 点 本 身 就 说 明了 微软 产品 具备 良好 的 可 扩 
展 性 ,可 靠 性 、 安 全 性 和 可 用 性 等 。 从 安全 技术 层面 上 来 说 ,微软 的 云 计算 Azure 平台 采 
用 了 多 个 层次 来 确保 用 户 的 应 用 和 数据 安全 ,其 中 最 重要 的 层次 是 在 操作 系统 内 核 上 的 
改进 。 它 采用 了 全 新 的 安全 模式 ,使 资源 既 有 连续 性 又 有 相对 独立 性 ;另外 ,系统 的 调配 
也 做 了 改进 ,资源 调配 时 不 会 调配 系统 的 内 核资 源 ,而 是 通过 一 些 指令 的 审核 过 程 做 判 
断 ;还 有 就 是 在 应 用 层 也 做 了 相应 的 保护 措施 , 它 允 许 企业 采取 特殊 的 机 密 措施 等 。 这 些 
措施 都 表明 微软 在 其 云 计算 Azure 平 台 上 对 安全 保障 方面 做 了 很 多 的 努力 。 

(2) 为 云 计 算 平台 推出 Sydney 安全 机 制 。 为 了 更 有 效 地 提高 安全 性 能 ,微软 为 云 计 
算 平 台 推出 了 全 新 的 安全 机 制 “ 悉 尼 ”(Sydney)。Sydney 安全 机 制 可 以 帮助 企业 用 户 在 
服务 器 和 Azure 云 之 间 交 换 数据 ,实现 本 地 应 用 程序 和 云 计算 程序 之 间 的 对 话 , 帮 助 企业 
用 户 在 微软 数据 中 心 上 运 行 大 多 数 应 用 程序 。 微 软 表 示 Sydney 安全 机 制 主要 是 解决 在 
虚拟 化 、 多 租户 环境 中 的 安全 性 ,因为 用 户 通常 是 在 这 种 环境 中 共享 数据 中 心 资 源 。 
Sydney 安全 机 制 能 把 用 户 的 云 资 源 与 网 络 虚拟 化 分 隔 开 来 ,提供 企业 内 部 数据 中 心 设 备 
和 云 中 设备 之 间 的 安全 连接 。 同 时 ,Sydney 安全 机 制 能 够 聚合 任意 两 个 终端 ,包括 企业 
内 部 的 服务 器 和 客户 设备 ,以 及 Azure 平 台 公 共 云 服务 中 的 资源 ,以 创建 高 效 安全 的 虚拟 
网 络 覆 盖 结 构 。 

(3) 在 硬件 层面 上 提升 访问 权限 安全 。 目 前 云 计算 方面 另 一 个 久久 挥 之 不 去 的 阴 
影 , 就 是 许多 提供 商 的 登录 机 制 太原 始 、 太 简单 了 。 人 们 在 访问 云端 数据 所 依赖 的 认证 手 
段 非常 弱 ,主要 还 是 用 户 名 和 密码 。 这 使 越 来 越 多 的 互联 网 犯罪 开始 从 最 终 用 户 下 手 。 
因此 ,微软 认为 需要 更 强 有 力 的 手段 对 接 人 云 服务 的 用 户 进行 认证 。 基 于 端 到 端的 安全 
理念 ,微软 的 做 法 是 更 多 地 将 安全 措施 植 根 于 硬件 层面 中 ,例如 采用 比 用户 名 、 密 码 更 为 
可 靠 的 身份 认证 机 制 。 

据 国外 媒体 报道 ,微软 曾 对 美国 联邦 政府 发 布 了 一 款 全 新 的 云 计 算 服务 ,这 款 名 为 
Business Productivity Online Suite Federal 的 产品 将 提供 比 常规 云 计 算 服 务 更 高 的 安全 
标准 ,包括 后 台 指 纹 验 证 和 其 他 生物 特征 识别 技术 。 这 些 额 外 的 安全 机 制 是 应 美国 国防 
部 和 NASA( 美 国 国家 航空 航天 局 ) 等 机 构 的 要 求 增加 的 。 该 产品 的 用 户 目前 包括 麦 当 
劳 . 可 口 可 乐 .英国 邮局 以 及 包括 美国 新 泽 西 州 纽 瓦 克 市 .加州 卡尔 斯 巴 德 市 在 内 的 
500 多 个 美国 州 政府 和 地 方 政府 。 微 软 表 示 与 谷歌 和 其 他 对 手相 比 ,微软 在 云 计算 硬件 
层面 安全 领域 上 的 进展 是 最 快 的 ,其 他 厂商 暂时 都 没 能 为 公共 领域 提供 如 此 高 水 平 的 安 
全 机 制 。 简 单 地 说 ,就 是 微软 提高 了 安全 和 隐私 机 制 的 安全 标杆 。 此 外 ,微软 还 加 入 了 一 
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家 名 为 “ 云 安全 联盟 ”(Cloud Security Alliance) 的 非 赢 利 组 织 , 以 表明 自己 对 云 安 全 的 
支持 。 

2) 符合 法 规 的 在 线 服 务 安全 经 验 

云 计 算 应 用 的 本 质 是 提供 一 种 在 线 服务 ,所 以 重要 数据 的 物理 存储 可 能 会 跨越 不 同 
国家 和 地 区 。 而 不 同 国家 有 不 同 的 司法 系统 ,这 就 会 带 来 潜在 的 法 律 风险 。 例 如 不 同 国 
家 对 数据 丢失 责任 .数据 知识 产权 保护 .数据 的 公开 政策 (Disclosure Policy) 的 司法 解释 
可 能 是 不 一 样 的 。 这 都 是 考验 云 计算 平台 服务 提供 商 在 提供 云 计 算 平 台 在 线 服务 时 的 重 
要 安全 内 容 。 

为 此 ,微软 制定 了 一 份 名 为 《保障 微软 的 云 基础 设施 )(Securing Microsoft”s Cloud 
Infrastructure) 的 文件 。 文 件 高 度 概括 了 微软 在 保护 其 基础 设施 以 及 其 用 户 的 数据 和 应 
用 程序 方面 将 采取 的 哪些 措施 。 微 软 在 文件 中 提出 这 些 做 法 依赖 于 风险 评估 和 纵深 防 
御 , 以 及 周期 循环 的 风险 再 评估 和 制定 适当 的 新 对 策 ,以 保证 能 够 处 于 领先 于 威胁 发 展 的 
优势 。 同 时 ,微软 还 监测 有 关 数 据 保 密 性 和 完整 性 的 法 律 ,以 完全 遵守 这 些 法 规 。 微 软 表 
示 ,他 们 会 对 其 云 基础 设施 进行 一 年 一 度 的 审查 ,以 满足 支付 卡 行业 标准 (PCI) 、 塞 班 斯 
法 案 .健康 保险 携带 和 责任 法 案 和 媒体 评级 理事 会 的 相关 要 求 。 此 外 ,微软 还 将 国际 标准 
化 组 织 (ISO) 和 报表 审计 准则 (SAS) 的 70 个 认证 作为 衡量 Azure 平台 云 安 全 是 否 健全 的 
标准 。 

而 对 于 大 家 关心 的 在 线 服务 的 安全 经 验 问题 ,微软 认为 可 以 从 其 运行 在 线 服务 的 历 

经 验 中 寻找 到 答案 。 微 软 首席 软件 架构 师 雷 奥 兹 表示 ,微软 在 平台 和 应 用 两 个 领域 拥 
ee 微软 认为 根据 过 去 微 
软 15 年 的 在 线 运营 经 验 ,虽然 在 世界 范围 内 每 个 国家 都 有 不 同 的 法 律 规定 ,但 微软 都 能 
根据 不 同 区 域 的 客户 需求 提供 和 交付 高 安全 性 的 在 线 服务 。 例 如 ,从 1994 年 MSN 上 
线 ,微软 就 开始 构建 和 运行 在 线 服务 ,而 且 成 立 了 全 球 基础 服务 部 门 (Global Foundation 
Services,GFS) 管 理 云 基础 架构 和 微软 在 线 服务 平台 ,包括 确保 全 球 的 数 亿 用 户 能 够 24 
小 时 使 用 微软 的 在 线 产 品 。 在 这 个 云 基础 架构 上 运行 着 微软 超过 200 个 在 线 服务 和 
Web 门户, 包括 人 们 日 常 所 用 的 面向 消费 者 的 服务 Windows Live Hotmail 和 Live 
Search, 以 及 面向 商业 群体 的 服务 微软 Dynamics CRM Online 和 微软 Business 
Productivity Online 标准 套件 等 。 因 此 ,微软 拥有 丰富 的 在 线 服务 运营 经 验 , 微 软 在 为 用 
户 提供 高 安全 性 的 在 线 体验 方面 有 自己 得 天 独 厚 的 优势 。 

3) 第 三 方 权威 安全 认证 提供 保驾 护航 

第 三 方 权 威 安 全 认证 服务 商 威 瑞 信 (VeriSign) 宣布 , 威 瑞 信 将 为 微软 Windows 
Azure 平 台 提供 基于 云 计算 的 安全 和 认证 服务 。 威 瑞 信 是 互联 网 上 最 受 尊 敬 和 信任 的 
SSL 认证 机 构 。《 财 富 ) 杂 志 500 强 中 95% 以 上 的 企业 及 97 家 世界 最 大 的 银行 正在 使 用 
威 瑞 信 的 SSL 证 书 来 满足 自己 的 安全 需求 。 作 为 基于 云 计算 解决 方案 的 开拓 者 , 威 瑞 信 
在 保护 云 平台 及 其 用 户 所 需 措施 方面 有 着 独到 的 见解 。 

据 了 解 , 威 瑞 信 将 为 Windows Azure 平 台 提 供 基于 云 计算 的 安全 解决 方案 ,以 保护 
Windows Azure 平台 上 所 开发 和 部 署 的 基于 云 计 算 的 服务 和 应 用 。 包 括 云 计算 操作 系 
统 Windows Azure,\ 云 计算 关联 型 数据 库 SQL Azure 、Windows Azure 平 台 AppFabric 
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Service Bus 和 AppFabric Access Control 等 一 系列 预 装 的 高 级 应 用 服务 ,确保 开发 人 员 
能 够 更 加 简便 地 部 署 和 管理 横 跨 服务 器 和 云 计 算 的 复合 应 用 。 

为 确保 云 安 全 保障 , 威 瑞 信 会 为 微软 Windows Azure 提供 SSL 证 书 和 代码 签名 。 威 
瑞 信 SSL 证 书 能 够 确保 企业 用 户 在 Windows Azure 上 所 运行 的 应 用 程序 拥有 强大 的 
SSL 加 密 保 护 。 威 瑞 信 SSL 同样 能 保护 用 户 .应 用 程序 和 服务 器 之 间 相 互 传送 的 数据 ， 
同时 在 用 户 和 基于 云 计 算 的 服务 器 之 间 提 供 关键 认证 。 同 时 , Windows Azure 应 用 开发 
人 员 能 够 使 用 威 瑞 信 代 码 签名 证 书 为 代码 签名 ,向 终端 用 户 表明 程序 来 自 可 信 发 行商 。 
因此 ,代码 签名 证 书 被 视 为 基于 云 计 算 应 用 的 “虚拟 保护 膜 ”。 如 果 数 字 签 名 损坏 , 则 表示 
该 程序 已 被 算 改 ,进而 保护 用 户 免 遭 黑客 或 恶意 代码 的 威胁 。 
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随 着 网 络 应 用 的 迅速 发 展 ,安全 成 为 PC 操作 系统 供应 商 关 注 的 焦点 。 所 以 ,本章 讨 
论 了 代表 未 来 计算 观点 的 Windows Vista 安全 技术 。 在 Vista 中 ,微软 希望 改善 用 户 的 
体验 ,以 及 改变 公众 对 Windows 操作 系统 不 安全 感 和 不 可 靠 的 看 法 ,在 安全 方面 采取 了 
强硬 的 立场 ,实施 了 创新 的 安全 控制 。Windows 7 是 基于 Windows Vista 核心 的 ,但 与 
Vista 相 比 ,Windows 7 的 安全 维护 变 得 简单 ,操作 更 加 人 性 化 ,本 章 也 讨论 了 Windows 7 
中 的 十 大 安全 性 变化 。 此 外 ,本 章 还 讨论 了 目前 已 经 开源 的 Sun Solaris 系统 的 安全 
功能 。 

近年 来 , 随 着 网 络 带 宽 的 增加 ,网 络 传输 速度 不 断 提升 ,出 现 了 基于 浏览 器 的 虚拟 操 
作 系 统 Web OS。 虽 然 Web OS 可 能 不 会 蔡 代 现行 的 操作 系统 ,但 是 它 为 人 们 的 工作 提 
供 了 很 大 的 可 移动 性 与 跨 平 台 性 。 事 实 上 ,这 种 将 桌面 计算 机 的 日 常任 务 迁移 到 Web 上 
的 概念 正在 日 益 成 为 现实 。 所 以 ,本 章 讨论 了 Web OS 概念 ,并 重点 介绍 了 备 受 关注 的 
YouOS & eyeOS 的 设计 ,并 讨论 了 目前 Web OS 存在 的 安全 问题 。 

云 计算 (Cloud Computing) 作 为 “智慧 的 信息 技术 ”的 重要 组 成 部 分 ,已 成 为 当今 业界 
最 受 瞩 目的 新 兴 概 念 。 云 计算 的 核心 思想 ,是 将 大 量 用 网 络 连接 的 计算 资源 统一 管理 和 
调度 ,构成 一 个 计算 资源 池 向 用 户 按 需 服务 。 所 以 ,本章 重 点 讨论 了 面向 未 来 云 计算 的 新 
型 操作 系统 Google Chrome OS 与 微软 的 Windows Azure, 以 及 它们 的 安全 性 需求 分 析 。 


“12.5 习题 
1. 请 阐述 Windows Vista 的 安全 体系 和 实现 的 安全 机 制 。 
2. 请 概括 Windows 7 在 安全 方面 的 十 大 特色 。 
3. 什么 是 Web OS? Web OS 具有 什么 特点 ? 
4. 简 述 Google Chrome OS 提供 的 安全 机 制 , 以 及 可 能 面临 的 安全 威胁 。 
5. 简 述 Windows Azure 的 体系 结构 ,以 及 它 的 应 用 场景 和 安全 性 需求 。 
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